Suche
Close this search box.

Sicherheitslücken in Software schneller entdecken und beheben mit CSAF

Das Common Security Advisory Framework (CSAF) ist ein maschinenlesbares Format für Sicherheitshinweise und spielt eine entscheidende Rolle bei der Umsetzung der Sicherheitsanforderungen aus dem Cyber Resilience Act: Sicherheitsinformationen können automatisiert erstellt und ausgetauscht werden. Es trägt dazu bei, dass Sicherheitslücken schneller entdeckt und behoben werden. Das Fraunhofer AISEC hat die Software-Bibliothek »kotlin-csaf« veröffentlicht, die den CSAF-Standard in der Programmiersprache Kotlin umsetzt. Die Integration in das Tool Dependence-Track soll »kotlin-csaf« automatisierte Sicherheitsüberprüfungen, schnellere Reaktionen und effizientere Compliance ermöglichen.

Was ist »kotlin-csaf«?

»kotlin-csaf« ist eine initiale Version einer Software-Bibliothek, die es Entwicklern ermöglicht, Sicherheitsinformationen im einheitlichen CSAF-Format zu verarbeiten. Dies erleichtert die Verwaltung und Validierung von Sicherheitswarnungen und -empfehlungen, was letztlich dazu beiträgt, Software sicherer zu machen. Der CSAF-Standard spielt eine entscheidende Rolle für die Cybersicherheit, da er Informationen zum Finden und Schließen von Sicherheitslücken automatisiert bereitstellt.

Integration in Dependency-Track: Automatisierte Sicherheitsüberprüfungen, schnellere Reaktionen und effizientere Compliance

Im nächsten Schritt will das Fraunhofer AISEC »kotlin-csaf« in das Tool Dependency-Track integrieren. Dependency-Track ist ein Werkzeug, das Programme und deren Abhängigkeiten auf Sicherheitslücken überprüft. Durch die zukünftige Integration von »kotlin-csaf« in Dependency-Track werden Unternehmen in der Lage sein

  • automatisierte Sicherheitsüberprüfungen durchzuführen, indem sie Sicherheitswarnungen und -empfehlungen in einem standardisierten Format verarbeiten,
  • schnellere Reaktionen auf Sicherheitsvorfälle zu gewährleisten, da Sicherheitsinformationen automatisch erstellt und konsumiert werden können,
  • effizientere Compliance zu erzielen, da Dependency-Track dann besser in der Lage sein wird, die Anforderungen des Cyber Resilience Act und der NIS-2-Richtlinie zu erfüllen.

Machen Sie mit: Ihr Feedback ist entscheidend

»kotlin-csaf« steht noch am Anfang seiner Entwicklung. Das Fraunhofer AISEC arbeitet kontinuierlich daran, die Bibliothek zu verbessern und weiter auszubauen. In diesem Zusammenhang suchen wir nach Partnern, die an einer Zusammenarbeit interessiert sind. Ihre Beiträge und Ihr Feedback sind entscheidend, um »kotlin-csaf« zu einem noch stärkeren Werkzeug für die Cybersicherheit zu machen.

»kotlin-csaf« Library auf GitHub – csaf-sbom/kotlin-csaf: A Kotlin implementation of the CSAF standard. 

Autor
Christian Banse

Christian Banse besitzt einen Master of Science in Wirtschaftsinformatik mit Schwerpunkt IT-Security der Universität Regensburg. Er ist seit 2011 Mitarbeiter am Fraunhofer AISEC. Er war verantwortlich für den Aufbau eines neuartigen Netzwerk- und Cloud-Sicherheitslabors und übernimmt derzeit dessen Leitung. Im Rahmen dieses Labors werden Forschungsfragen rund um Netzwerke und IP-basierter Kommunikation untersucht. Besonderer Fokus liegt hierbei in der Erforschung von Methoden der automatisierten und kontinuierlichen Zertifizierung der IT-Sicherheit von Cloud- und Container-Anwendungen. Seit Mitte 2018 ist Christian Banse zudem Abteilungsleiter des Bereichs Service und Application Security.

Most Popular

Keinen Beitrag verpassen?

Bitte geben Sie Ihre E-Mail-Adresse ein, um keinen Blog-Beitrag zu verpassen.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.

* Pflichtfeld

* Pflichtfeld

Mit dem Ausfüllen des Formulars akzeptieren Sie unsere Datenschutzerklärung.
Twitter Linkedin Youtube Xing

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Artikel

Sicherheitslücken in Software schneller entdecken und beheben mit CSAF

Christian Banse 16. Oktober 2024

Das Common Security Advisory Framework (CSAF) ist ein maschinenlesbares Format für Sicherheitshinweise und spielt eine entscheidende Rolle bei der Umsetzung der Sicherheitsanforderungen aus dem Cyber Resilience Act: Sicherheitsinformationen können automatisiert erstellt und ausgetauscht werden. Es trägt dazu bei, dass Sicherheitslücken schneller entdeckt und behoben werden.
Das Fraunhofer AISEC hat die Software-Bibliothek »kotlin-csaf« veröffentlicht, die den CSAF-Standard in der Programmiersprache Kotlin umsetzt. Die Integration in das Tool Dependence-Track soll »kotlin-csaf« automatisierte Sicherheitsüberprüfungen, schnellere Reaktionen und effizientere Compliance ermöglichen.

Weiterlesen »

Privacy By Design in der Software-Entwicklung

Immanuel Kunz 4. Juni 2024

Verstöße gegen Datenschutzbestimmungen und Eingriffe in die Privatsphäre sorgen immer wieder für Schlagzeilen. Oft sind reaktive Maßnahmen nicht weitreichend genug, um persönliche Daten in Unternehmen und öffentlichen Einrichtungen zu schützen. Datenschutzbewusste Organisationen nutzen daher einen etablierten Software-Entwicklungsprozess, der systematische Schutzmaßnahmen umfasst. Dazu gehören die Auswahl von Technologien zur Verbesserung des Datenschutzes, die Analyse potenzieller Bedrohungen sowie die kontinuierliche Neubewertung von Risiken während der Programmlaufzeit. In diesem Blogbeitrag geben wir einen Überblick, wie datenschutz- und privacyfreundliche Software entwickelt und betrieben werden kann. Dabei konzentrieren wir uns auf risikobasiertes Privacy Engineering als Basis für »Privacy by Design«.

Weiterlesen »
Headerbild zum Blogartikel "Neue Studie zu Laser-basiertem Fehlerangriff auf XMSS" im Cybersecurityblog des Fraunhofer AISEC

Fraunhofer AISEC im Auftrag des BSI: Neue Studie zu Laser-basiertem Fehlerangriff auf XMSS

Silvan Streit 6. März 2024

Für die Sicherheit von eingebetteten Systemen muss die Integrität und Authentizität der Software geprüft werden – z. B anhand von Signaturen. Gezielte Hardware-Angriffe ermöglichen jedoch die Übernahme des Systems mit Schadsoftware. Welchen Risiken sind moderne kryptografische Implementierungen ausgesetzt? Welche Gegenmaßnahmen sind zu ergreifen?

Zur Beantwortung dieser Fragen führte das Fraunhofer AISEC im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Studie zu Laser-basierten Fehlerangriffen auf XMSS durch. Im Fokus steht ein hash-basiertes, quantensicheres Schema für die Erstellung und Überprüfung von Signaturen, das auf dem Winternitz One-Time-Signature-Verfahren (WOTS) basiert.

Weiterlesen »