Flexera integriert Secunia Advisories in FlexNet Code Insight

FlexNet Code Insight verwaltet die Lizenz-Compliance und Sicherheitsrisiken von OSS durch Automatisierung des gesamten Prozesses, einschließlich Request-to-Use-OSS und Drittanbieter-Code, Scan und Abgleich des tatsächlichen mit dem angeforderten Inhalt, Erstellung von Compliance-Dokumenten und permanenten Prüfungen auf Schwachstellen sowie Warnungen bezüglich geistigen Eigentums. Die zuverlässige Compliance-Bibliothek enthält mehr als 12,9 Millionen Open-Source-Komponenten und über 2,5 Millionen automatisierte Erkennungsregeln sowie einen integrierten Anforderungs- und Autorisierungsworkflow.

„Das Auffinden von Open-Source-Sicherheitslücken in Paketen bis hin zu tiefgehenden Abhängigkeiten war schon immer eine Priorität für Flexera“, erklärt Jeff Luszcz, Vice President of Product Management bei Flexera. „Mit der Integration ermöglichen wir Entwicklern nun einen Zugriff auf eine der umfassendsten und vertrauenswürdigsten Softwareschwachstellen-Datenbanken der Welt. FlexNet Code Insight kombiniert die Stärke der National Vulnerability Database (NVD) mit der Flexera Software Vulnerability Database. Dadurch können Kunden das Risikofenster zwischen dem Erkennen und Beheben von Schwachstellen deutlich reduzieren – und zwar bevor Sicherheitslücken ausgenutzt werden und kostenintensive Schäden entstehen.“

FlexNet Code Insight bietet umfangreiche Informationen zur Aufdeckung von Softwareschwachstellen ab dem Moment ihrer Veröffentlichung. Das versetzt Softwareanbieter in eine bessere Position, um Schwachstellen zu bewerten, zu priorisieren und zu patchen noch ehe sie ausgenutzt werden können. Darüber hinaus warnt die Managementlösung Entwickler- und Sicherheitsteam frühzeitig, sobald neue Schwachstellen in bereits ausgelieferter Software bekannt werden.

Bessere Vulnerability Daten, mehr Schutz

Der Einsatz von Open-Source-Komponenten in der Softwareentwicklung nimmt rasant zu. Vor einem Jahrzehnt verwendeten Entwickler weniger als 100 Open-Source-Bibliotheken pro Release. Heute werden in einigen Branchen mehr als 3.000 Stück eingesetzt. Angesichts der steigenden Open-Source-Abhängigkeiten, sind Softwareanbieter stärker in der Pflicht, eine sichere Softwarelieferkette zu gewährleisten. Ein tiefgehendes Verständnis des im Open-Source-Code mittransportierten Risikos bezüglich Schwachstellen sowie den Compliance-Anforderungen ist dafür Voraussetzung.

Laut Flexeras Vulnerability Review 2017 fanden sich insgesamt 17.147 Softwareschwachstellen in 2.136 Anwendungen von 246 verschiedenen Anbietern. Für 81 % der Schwachstellen standen bereits am Tag der Bekanntgabe Sicherheitsupdates zur Verfügung. Die durchschnittliche Dauer, bis Unternehmen Patches vollständig installierten, betrug 186 Tage^[1] – ein Risikofenster, das Hackern reichlich Gelegenheit bietet, Schwachstellen auszunutzen, Unternehmen anzugreifen und immensen Schaden zu verursachen.

„Der Datenhack bei Equifax, der über die Ausnutzung der Open-Source-Komponente Apache Struts 2 möglich wurde, hat die Risiken von Open-Source Komponenten verdeutlicht, die unwissentlich in Produkten enthalten sind“, so Luszcz. „Flexera bietet hier leistungsstarke Tools, um die Softwarelieferkette sicherer zu machen und Haftungsrisiken zu minimieren.“

^[1] Verizon 2016 Data Breach Investigations Report