What is Open Source Security?

Open Source Security, commonly referred to as Software Composition Analysis (SCA), is a methodology to provide users better visibility into the open source inventory of their applications. This is done by examining components via binary fingerprints, utilizing professionally curated and proprietary research, matching accurate scans against that proprietary intelligence, as well as proving developers this intelligence directly inside their favorite tools.

Open source refers to any software with accessible source code that anyone can modify and share freely. Source code is the part of software that users don't see; it's the code programmers can create and edit to change how software works. By having access to a program’s source code, developers or programmers can improve the software by adding features to it or fixing parts that don't always work correctly.

Why Use Open Source Software?

In today’s fast paced business world, software teams have adopted agile development practices such as DevOps to keep up with business demand. These practices put a lot of pressure on developers to build and deploy applications more quickly. To successfully achieve their goals within short software release cycles, developers frequently use open source software components. Open Source Software (OSS) is distributed freely, making it very cost-effective. Many developers benefit by starting with OSS and then tweaking it to suit their needs. Since the code is open, it's simply a matter of modifying it to add the functionality they want.

Is Open Source a Security Risk?

It’s no secret... developers use open source software. Still, there are questions around how it should be managed – and for good reason. Here’s why: Open source components are not created equal. Some are vulnerable from the start, while others go bad over time. Usage has become more complex. With tens of billions of downloads, it’s increasingly difficult to manage libraries and direct dependencies. Transitive dependencies: if you are using dependency management tools like Maven (Java), Bower (JavaScript), Bundler (Ruby), etc., then you are automatically pulling in third party dependencies – a liability that you can’t afford. Fortify ’s preferred Software Composition Analysis (SCA) partner Sonatype ’s research team recently found in their latest State of the Software Supply Chain that: 300,000+ open source components are downloaded annually by the average company In 2018, across billions of open source component release downloads, 1 in 10 open source compenents had known security vulnerabilities (10.3%). 51% of JavaScript package downloads contained known security vulnerabilities. 71% increase in confirmed or suspected open source related breaches since 2014 55% reduction in the use of vulnerable open source component releases within managed software supply chains

How do I identify Open Source Vulnerabilities in my software?

Enterprises need to secure not just the code they write, but also the code they consume from open source components. That’s why many organizations are using Sonatype to automate open source governance at scale across the entire SDLC , shifting security left within development and build stages. Discover the best-in-class, integrated solution for custom code and open source code security with Fortify and Sonatype . With integration to Fortify on Demand , precise open source intelligence provides a 360-degree view of application security issues across the custom code and open source components in a single scan. You can perform searches for Open Source and Custom Code Vulnerabilities in a Single Scan and Dashboard

What are the benefits of Open Source security with Fortify and Sonatype:

Provide code once for both SAST and software composition analysis Supports Java, .NET, JavaScript and Python Integrated results deliver one platform for remediation, reporting and analytics Examines fingerprints of 65M components for high accuracy Detects 70% more vulnerabilities than the NVD database alone

Was ist Open Source Security?

Open Source Security, oder auch Software Composition Analysis (SCA), ist eine Methode, um Benutzern bessere Transparenz für das Open Source-Inventar ihrer Anwendungen zu bieten. Dies geschieht durch die Untersuchung der Komponenten anhand binärer Merkmale. Dabei kommt professionell betreute sowie eigene Forschung zum Einsatz, wobei genaue Scans mit unternehmenseigener Intelligenz verglichen werden. Diese Informationen werden den Entwicklern direkt in ihren Lieblings-Tools bereitgestellt.

Was ist Open Source?

Open Source bezieht sich auf jede Software mit zugänglichem Quellcode, die von jedem geändert und frei weitergegeben werden darf. Ein Quellcode ist der Teil der Software, den der Benutzer nicht sieht. Es handelt sich um den Code, den Programmierer erstellen und bearbeiten können, um die Funktion der Software zu ändern. Wenn Entwickler oder Programmierer Zugriff auf den Quellcode eines Programms haben, können sie die Software verbessern, indem Sie Funktionen hinzufügen oder Teile reparieren, die nicht immer richtig funktionieren.

Warum Open Source-Software verwenden?

In unserer heutigen schnelllebigen Geschäftswelt haben Software-Teams agile Entwicklungspraktiken wie z. B.DevOps übernommen, um mit den geschäftlichen Anforderungen Schritt zu halten. Durch diese Praktiken stehen Entwickler unter großem Druck, Anwendungen schneller zu entwickeln und bereitzustellen. Um Ihre Ziele erfolgreich in kurzen Software-Freigabezyklen zu erreichen, verwenden die Entwickler häufig Open Source-Softwarekomponenten. Open Source Software (OSS) wird frei verteilt und ist sehr kosteneffektiv. Viele Entwickler verwenden zu Beginn OSS und optimieren sie dann so, dass sie ihren Bedürnissen entspricht. Da der Code offen ist, muss ihm nur die gewünschte Funktionalität hinzugefügt werden.

Ist Open Source ein Sicherheitsrisiko?

Es ist kein Geheimnis: Entwickler nutzen Open Source-Software.
Doch bestehen noch Fragen in Bezug auf deren Verwaltung – und das aus gutem Grund.

Dafür gibt es viele Gründe:

Open Source-Komponenten sind nicht alle gleich. Manche sind von Anfang an anfällig, während andere mit der Zeit immer schlechter werden.
Die Nutzung wird immer komplexer. Bei vielen Milliarden Downloads sind Bibliotheken und direkte Abhängigkeiten immer schwieriger zu verwalten.
Transitive Abhängigkeiten: Wenn Sie Abhängigkeits-Management-Tools verwenden, wie z. B. Maven (Java), Bower (JavaScript), Bundler (Ruby) usw., dann begeben Sie sich automatisch in die Abhängigkeit Dritter – ein Risiko, dem Sie sich nicht aussetzen sollten.
Das durchschnittliche Unternehmen lädt jährlich über 300.000 Open Source Komponenten herunter.
2018 wiesen bei Milliarden von Versions-Downloads 1 von 10 Open Source-Komponenten bekannte Sicherheitsschwächen (10,3 %) auf.
51 % der Paket-Downloads von JavaScript enthielten bekannte Sicherheitsschwächen.
Der Anstieg bestätigter oder vermuteter Open Source-bezogener Verletzungen lag seit 2014 bei 71 %.

Wie erkennt man Open Source-Schwächen in der Software?

Unternehmen müssen nicht nur den Code sichern, den sie selber schreiben, sondern auch den, den sie aus Open Source-Komponenten beziehen. Darum verwenden viele Unternehmen Sonatype zur skalierbaren Automatisierung der Open Source-Governance über den gesamte SDLC hinweg, wodurch die Sicherheit in den Entwicklungs- und Aufbauphasen nach links verschoben wird.

Entdecken Sie die branchenbeste, integrierte Lösung für die Sicherheit des benutzerdefinierten und Open Source-Codes mit Fortify und Sonatype. Genaue Open Source-Informationen bieten in einem Durchlauf einen Überblick über alle Probleme bei der Anwendungssicherheit im Hinblick auf den benutzerdefinierten Code und die Open Source-Komponenten. Sie können mit nur einer Überprüfung und einem Dashboard nach Schwächen in Open Source- und benutzerdefinierten Codes suchen

Dank modernster maschineller Lernverfahren bietet Fortify über Debricked Open Source-Intelligence und -Sicherheit für schnellere und genauere Ergebnisse. Debricked ist eine Cloud-native Lösung für Software Composition Analysis, die von Entwicklern gerne genutzt wird und die Produktivität steigert. Diese Lösung nutzt einen ganzheitlichen Ansatz mit nahtlosen Integrationen in den DevOps-Nutzungszyklus, um Risiken in der Software-Supply Chain proaktiv zu managen.

Your browser is not supported

Branchenlösungen

Unternehmenslösungen

Was ist Open Source Security?

Was ist Open Source?

Warum Open Source-Software verwenden?

Ist Open Source ein Sicherheitsrisiko?

Wie erkennt man Open Source-Schwächen in der Software?

Verwandte Produkte

Fortify on Demand

Fortify Static Code Analyzer

Fortify Software Security Center

Zusätzliche Ressourcen