SBoM – Vom App Inventory zum Vulnerability Handling

Was ist eigentlich in der eigenen App so alles drin? Und was bedeutet es für mich, wenn in meiner App Third-Party-Komponenten enthalten sind?

Diese beiden Fragen sollte heutzutage eigentlich jeder Entwickler von mobilen Apps im Schlaf beantworten können. Doch leider sehen wir im Rahmen von Pentests immer wieder, dass dies nicht der Fall ist und das Thema Software Bill of Material (SBoM) und dessen Einfluss auf die internen Prozesse sehr stiefmütterlich behandelt werden.

Dabei ist eine detaillierte Auflistung der Softwarekomponenten in jedem softwarebasierten Produkt notwendig, um mögliche Lizenzverstöße, aber vor Allem auch Schwachstellen zu identifizieren und letztlich dazu beizutragen, die Sicherheitsrisiken für den Herausgeber der Software zu reduzieren. Dies gilt nicht nur für aufwendige und komplexe Software im herkömmlichen Sinne, sondern auch für mobile Apps.

Lernziele

Im Rahmen dieses Vortrags zeigen wir, wie man die SBoM in seinen Entwicklungsprozess integrieren kann und wie man sie richtig nutzt, wenn es um das Thema Vulnerability Handling geht.

 

Speaker

 

Michael Spreitzenbarth
Michael Spreitzenbarth studierte Wirtschaftsinformatik an der Universität Mannheim mit den Schwerpunkten IT-Security und Digitale Forensik und vertiefte dieses Themengebiet im Rahmen seiner Promotion an der FAU in Erlangen. Danach arbeitet er in einem weltweit operierenden CERT mit Fokus auf der Absicherung mobiler Endgeräte, Incident Handling und der Analyse verdächtiger mobiler Applikationen. Seit Oktober 2018 arbeitet er als Cyber Risk Specialist für einen der größten Cyber (Rück-)Versicherer. Darüber hinaus ist er als selbständiger Berater und Dozent im Bereich der Sicherheit mobiler Endgeräte und Anwendungen tätig.

Gold-Sponsoren

WIBU Systems
Snyk
Palo Alto Networks
Xanitizer


heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden