Es war nicht das erste Mal, dass eine Schwachstelle in einer Open-Source-Bibliothek für Überstunden in IT-Abteilungen gesorgt hat. Doch im Dezember 2021 war das CVE-44228 sogar in der Tagesschau und der Spiegel schrieb: Das Internet brennt.

Doch was haben wir daraus gelernt? Haben wir Erkenntnisse gewonnen oder Maßnahmen ergriffen, um bei der nächsten Zero-Day-Vulnerability effizienter agieren zu können? Können wir schneller herausfinden, in welchen Produkten eine Bibliothek in einer bestimmten Version verwendet wird?

In diesem Vortrag stelle ich Euch vor, mit welchen Spezifikationen, Standards und Tools Ihr einen Beipackzettel für Eure Software erstellen könnt und diese Aktion in Euren Build- oder Deploy-Prozess integriert (DevSecOps).

Darüber hinaus zeige ich ein Werkzeug, um diese Infos aus diversen Produkten an einer zentralen Stelle auf Verwundbarkeiten hin zu überprüfen und wie ein solches Tool bei der kontinuierlichen Software Composition Analysis (SCA) unterstützt, um Risiken in der Software Supply Chain frühzeitig zu identifizieren. Zusätzlich werde ich Beispiele zeigen, wie die Ausführungsschicht, also z. B. der gesamte Inhalt von Containern, auf Sicherheitslücken hin überprüft werden kann.