Supply Chain Security: Ein Ausweg aus der Dependency-Hölle!

In der moderne Softwareentwicklung bedient man sich diverser Bibliotheken, teilweise aus Open Source Software, teilweise aber auch von Zulieferern. Leider wird es während dem fortlaufenden Betrieb und der Weiterentwicklung immer schwieriger, die große Menge direkter und indirekter Abhängigkeiten seiner Projekte zu überblicken und auf einem aktuellen Stand zu halten.
In diesem Vortrag soll gezeigt werden, wie man automatisiert Transparenz über bekannte Schwachstellen in den verwendeten Bibliotheken herstellen kann, sowohl für das Entwicklungsteam, als auch in der zentralen Sicherheitsorganisation. Formate wie SBOM und Tools wie OWASP Dependency-Check und Dependency-Track können hier eine große Hilfe sein.
Des weiteren wird demonstriert, wie man mit Hilfe des Renovate-Frameworks den patch-Prozess automatisieren kann, um jederzeit einen modernen Stand zu haben und schneller auf kritische Sicherheitsupdates reagieren zu können.