Tag Archives: Black Duck

Allgemein

Synopsys integriert kontextsensitive Trainingsplattform in Coverity

Die SAST-Umgebung Coverity enthält weitere Verbesserungen, etwa zur Erkennung von Spectre-Schwachstellen

Synopsys integriert kontextsensitive Trainingsplattform in Coverity

Coverity Screenshot

MOUNTAIN VIEW, Kalifornien/USA, 27. Juni 2018 – Synopsys, Inc. (Nasdaq: SNPS) gab heute die Verfügbarkeit mehrerer neuer Produktfunktionen bekannt, mit denen Entwickler sichere Anwendungen schneller erstellen können. Das neueste Coverity-Release, das von Gartner und Forrester als eines der führenden SAST-Tools (Static Application Security Testing) ausgezeichnet wurde, bietet eine nahtlose Integration mit der komplett neu entwickelten eLearning-Plattform von Synopsys, einer On-Demand-Sicherheitsschulung für Entwickler. Die Integration ermöglicht Entwicklern einen bequemen Zugriff – direkt aus der Coverity Oberfläche – auf kurze, kontextbasierte Trainingsmodule, um Sicherheitsprobleme zu lösen, die Coverity in ihrem Code erkennt. Das Coverity-Release enthält zudem einige Verbesserungen der Sicherheitsanalyse, um mehr Sicherheitslücken in einer Vielzahl von Programmiersprachen und Frameworks entdecken zu können, einschließlich der Möglichkeit, Codemuster zu identifizieren, die anfällig für die derzeit vielbeachteten Spectre-Angriffe (rund um Prozessorlücken) sind.

„Je mehr Organisationen sich für schnelle und iterative Entwicklungsmethoden entscheiden, desto wichtiger wird es, die Sicherheit in den Entwicklungsprozess zu verlagern“, sagt Andreas Kuehlmann, Senior Vice President und General Manager der Synopsys Software Integrity Group. „Das bedeutet, Entwicklern die Tools und Schulungen zu geben, die sie benötigen, um Verantwortung für die Sicherheit ihres Codes selbst zu übernehmen und Schwachstellen frühzeitig zu finden und zu beheben. Entwickler in der Vermeidung von Sicherheitslücken zu schulen, führt zu sicherem Code, verhindert teure Nacharbeiten wie auch unnötige Verzögerungen.“

Coverity-Integration mit neuer eLearning-Plattform

Synopsys eLearning ist eine ergebnisorientierte sowie lernerzentrische Trainingslösung, die Schulungen in Anwendungssicherheit einfach, themenbezogen und für jedermann zugänglich macht. Benutzer haben Zugriff auf eine umfassende Lernplattform, die Sicherheitsexpertise und didaktische Aufbereitung zu einer intuitiven Umgebung vereint.

-Coverity fügt sich nun nahtlos in eLearning ein und bietet Entwicklern kontextspezifische Sicherheitslektionen basierend auf den von Coverity erkannten CWEs (Common Weakness Enumerations).
-Die Integration verwendet ein proprietäres Verfahren, das auf einer algorithmischen Bewertung des Konfidenzniveaus basiert, um erkannte CWEs mit relevanten eLearning-Kursinhalten zu vergleichen. Im Gegensatz zu anderen Schulungstools ist eLearning auf die passenden Abschnitte in einem Kurs verlinkt, um sicherzustellen, dass Entwickler die jeweils relevantesten Informationen erhalten.
-eLearning umfasst 37 Kurse, die eine breite Palette von Anwendungssicherheitsthemen abdecken, darunter Risikoanalyse, Authentifizierung, Sicherheitsstandards, defensive Programmierung für Web- und mobile Anwendungen, Bedrohungsmodellierung, Sicherheitsteststrategie und mehr.

Erfahren Sie mehr über Synopsys eLearning

Die Verbesserungen von Coverity 2018.06

Die neueste Version von Coverity enthält zudem Verbesserungen zur Erkennung von Sicherheitslücken in einer Vielzahl von Programmiersprachen und Frameworks sowie die fortlaufende Unterstützung der neuesten Programmierstandards für Sicherheit und Zuverlässigkeit.

-Spectre: Coverity ist eine der ersten SAST-Lösungen, die spezifische Sicherheitsprüfungen bereitstellt, die Quellcode-Segmente identifizieren, welche potenziell anfällig für Spectre-Angriffe sind.
-Kodierungsstandards: Coverity ermöglicht es Kunden, schnell Apps zu entwickeln, die den jeweils relevanten Industriestandards entsprechen. Coverity unterstützt nun die OWASP Top 10 2017, CERT C ++, MISRA C: 2012 Technical Corrigendum 1 (TC1) und DISA STIG Standards.
-Verbesserte Sicherheitsanalyse: Coverity kann zusätzliche Schwachstellen in Python-, Java- und Swift-Anwendungen erkennen.

Erfahren Sie mehr über Coverity

Über die Synopsys Software Integrity Group
Die Synopsys Software Integrity Group unterstützt Organisationen bei der Erstellung sicherer und hochqualitativer Software, welche Risiken senkt und Tempo sowie Produktivität erhöht. Synopsys ist anerkannter Marktführer in Applikationssicherheit, stellt statische Analysen, Software Composition Analysis (SCA) sowie dynamische Analysen zur Verfügung, die Teams dabei helfen Schwachstellen schnell zu finden und zu beheben sowie Fehler in proprietärem und Open-Source-Code als auch Applikationsverhalten zu beheben. Mit einer Kombination aus industrieführenden Tools, Dienstleistungen und Expertenwissen gelingt es Synopsys, Sicherheit und Qualität in DevSecOps zu steigern und im gesamten Entwicklungszyklus von Software zu etablieren. Erfahren Sie mehr unter synopsys.com/software.

Über Synopsys
Synopsys, Inc. (Nasdaq: SNPS) agiert als Silicon to Software™ Partner innovativer Unternehmen, die zuverlässige Elektronikprodukte und Softwareanwendungen für den Alltag entwickeln. Synopsys ist das fünfzehntgrößte Softwareunternehmen weltweit und kann auf eine lange Geschichte als führender Anbieter in der Electronic Design Automation (EDA) und der Halbleiter-IP verweisen. Auch im Markt für Softwaresicherheit und Softwarequalität kommt dem Unternehmen eine wachsende Bedeutung zu. Ob für System-on-Chip Designer (SoC), die anspruchsvolle Halbleiter entwerfen, oder Softwareentwickler, die Anwendungen mit höchsten Sicherheits- und Qualitätsansprüchen programmieren: Synopsys bietet alle Lösungen, um innovative, hochwertige und sichere Produkte zu liefern. Weitere Informationen unter synopsys.com.

Firmenkontakt
Synopsys, Inc.
Mark Van Elderen
East Middlefield Road 690
94043 Mountain View, CA – USA
001-650-793-7450
mark.vanelderen@synopsys.com
http://www.synopsys.com/software

Pressekontakt
Berkeley Kommunikation GmbH
Patrick Wandschneider
Landwehrstraße 61
80336 München
0049-89-747262-41
patrick.wandschneider@berkeleypr.com
http://www.berkeleypr.com/de

Allgemein

Sichere Applikationen nur mit ganzheitlichem Ansatz möglich

Black Duck und Cigital verhelfen zu mehr Sicherheit bei der Entwicklung von Softwareanwendungen – egal ob quelloffener oder proprietärer Code eingesetzt wird

Sichere Applikationen nur mit ganzheitlichem Ansatz möglich

Open Source Code gelangt über unterschiedliche Wege in ein Unternehmen (Bildquelle: Black Duck Software)

Open Source Software (OSS) bietet unbestreitbar Vorteile – birgt aber auch ein nicht zu unterschätzendes Sicherheitsrisiko. Laut einer Studie von Black Duck wurden bei 67% der getesteten Anwendungen Open Source-Komponenten im Durchschnitt 22,5 Sicherheitslücken gefunden. Doch auch selbstentwickelte Software-Komponenten sind nicht vor potentiellen Schwachstellen gefeit.

Softwareanwendungen haben sich in den letzten Jahren und Jahrzehnten zunehmend verändert. Sie sind längst keine einfachen und monolithischen Gebilde mehr. Bei ihrer Entwicklung wird eine Kombination aus selbstentwickeltem Code und Open Source-Komponenten verwendet. Diese Zusammensetzung stellt traditionelle Tools zur Überprüfung der Anwendungssicherheit vor Probleme. Klassische Tools eignen sich gut für die Überprüfung proprietärer Software, doch für ein erfolgreiches Management von OSS-Komponenten bedarf es zusätzlicher Mittel, um Sicherheitsrisiken zu vermeiden.

Und diese Risiken sind extrem hoch, besonders bei kommerziellen Anwendungen, denn hier werden bei Sicherheitslücken auch die Informationen der Kunden angreifbar. Unternehmen brauchen deshalb einen ganzheitlichen Ansatz, der gewährleistet, dass die entwickelte Softwareanwendung nicht angreifbar ist.

Die Partnerschaft zwischen Black Duck und Cigital unterstützt sie bei einem solchen Ansatz: Während Cigital sich um die selbstgeschriebenen Softwareelemente kümmert, nimmt Black Duck die Open Source-Komponenten unter die Lupe. Die Kombination beider Maßnahmen stellt sicher, dass Sicherlücken erkannt und behoben werden, bevor sie Ziel eines Angriffs werden können. So wird das Gesamtrisiko drastisch gesenkt.

Black Duck steht dabei die hauseigene Black Duck Knowledge Base zur Verfügung, eine Datenbank, welche die Informationen von über einer Million Softwareprojekten auf über 8.500 Seiten über die letzten zehn Jahre enthält. Sie bildet die Datengrundlage für den Black Duck Hub , mithilfe dessen Open Source Security effektiv analysiert und verwaltet wird. Zudem überwacht er sämtliche eingesetzte Software permanent und alarmiert das zuständige Personal, wenn neu bekannt gewordene Sicherheitslücken auftauchen.

Weitere Informationen:

– Ankündigung der Partnerschaft im Blog von Black Duck
– Ankündigung der Partnerschaft im Blog von Cigital
– Studie: The State of Open Source Security in Commercial Applications
Black Duck Hub
Black Duck Knowledge Base

Unternehmen weltweit setzen die branchenführenden Produkte von Black Duck Software ein, um ihre Open Source Software zu schützen und zu verwalten und um Gefahren durch Sicherheitslücken, Compliance-Verstößen und betriebliche Risiken zu beheben. Black Duck hat seinen Hauptsitz in Burlington, Massachusetts und hat Niederlassungen in Mountain View, London, Frankfurt, Hongkong, Tokio, Seoul und Peking.

Firmenkontakt
Black Duck
Birgit Fuchs-Laine
Prinzregentenstraße 79
81675 München
089-417761-13
blackduck@lucyturpin.com
https://www.blackducksoftware.de/

Pressekontakt
Lucy Turpin Communications
Birgit Fuchs-Laine
Prinzregentenstraße 79
81675 München
089-417761-13
blackduck@lucyturpin.com
https://www.blackducksoftware.de/

Allgemein

Black Duck gründet Center for Open Source Research & Innovation

Zunehmende Verbreitung von Open Source in der Anwendungsentwicklung erfordert gründliche Überprüfung – insbesondere hinsichtlich der Sicherheit.

Black Duck gründet Center for Open Source Research & Innovation

(Bildquelle: Black Duck)

München, 02. August 2016 – Black Duck Software, ein weltweit führendes Unternehmen für automatisierte Lösungen zur Sicherung und Verwaltung von Open Source Software, gibt die Gründung des Center for Open Source Research & Innovation (COSRI) bekannt. Damit adressiert das Unternehmen die zunehmende Nutzung von Open Source in der Anwendungsentwicklung und die damit verbundene Notwendigkeit einer kontinuierlichen Überprüfung.

„Anwendungen werden heutzutage weltweit mit Open Source entwickelt und wir erwarten eine immer schnellere Verbreitung. Der Grund dafür liegt auf der Hand: Open Source bietet eindeutige Vorteile hinsichtlich der Wirtschaftlichkeit und Produktivität. Damit das Open Source-Ökosystem in den nächsten Jahren dynamisch und aktiv bleibt, braucht es Forschung, Innovation, Wissen und Fortbildung – vor allem in Bezug auf die Sicherheit. „Hier möchten wir eine führende Rolle einnehmen“, so Lou Shipley, CEO von Black Duck.

Das Center for Open Source Research & Innovation wird sich am Hauptsitz von Black Duck in Massachusetts befinden. Laut Shipley spielen bei dieser Initiative zwei neue Research-Teams eine zentrale Rolle, eines in Kanada und eines in Europa.

Das europäische Security Research-Team von Black Duck konzentriert sich vor allem auf die Analyse von Sicherheitslücken und Angriffsmustern in Open Source Software. Es stellt den Kunden aktuelle und relevante Informationen über Schwachstellen zur Verfügung, bietet Abhilfemaßnahmen zur Risikominimierung sowie Strategien für eine effektivere Nutzung von Open Source. Das Team in Vancouver untersucht Themen wie Data-Mining, Machine Learning, Natural Language Processing, Big Data Management und Software-Engineering.

„Beide Teams werden uns mit ihrer Arbeit dabei unterstützen, unsere Security- und Management-Lösungen für Open Source weiter zu verbessern“, so Shipley weiter. „Außerdem wird ein großer Teil ihrer Erkenntnisse und Reports veröffentlich, damit die Open Source Community davon profitieren kann.“

Im Rahmen des COSRI wird Black Duck auch weiterhin regelmäßig Open Source Security Audit (OSSA)-Reports herausgeben in denen die Ergebnisse der Überprüfung von Anwendungen durch Black Ducks On-Demand-Services analysiert wurden. Diese sind insbesondere bei Übernahmen und Zusammenschlüssen von Firmen nützlich.

In einem Anfang des Jahres von Black Duck veröffentlichten Report wurden die Herausforderungen der Unternehmen hinsichtlich Sicherung und Verwaltung von Open Source deutlich. Der OSSA-Report zeigt auf, dass 67 Prozent der untersuchten Applikationen Sicherheitslücken innerhalb von Open Source-Komponenten enthielten.

Shipley betonte zudem, dass die Ergebnisse beider Teams auch in die Erweiterung und der Verbesserung der Black Duck KnowledgeBase einfließen werden. Die Black Duck KnowledgeBase ist die umfangreichste und bestgepflegteste Datenbank für Open Source Software, einschließlich der damit verbundenen Lizenzen und weiteren Informationen zu bekannten Sicherheitslücken. „Wir pflegen die KnowledgeBase seit über zehn Jahren und werden diese Arbeit in Kooperation mit dem COSRI weiter fortführen. Darauf basieren alle unsere Produkte.“

Das Open Hub von Black Duck, die Online-Community und das Verzeichnis über freie und Open Source Software (FOOS) wird ebenfalls Teil des COSRI. Open Hub bietet die Analyse sowie Suchdienste für die Auswertung, Nachverfolgung und zum Vergleich von Open Source Code und Open Source Projekten.

„Open Source braucht eine aktive Community um weiter zu wachsen und sich weiter zu entwickeln“, meint Shipley. „Die Integration in das direkte Umfeld des COSRI unterstreicht die Bedeutung von Open Hub.

Unternehmen weltweit setzen die branchenführenden Produkte von Black Duck Software ein, um ihre Open Source Software zu schützen und zu verwalten und um Gefahren durch Sicherheitslücken, Compliance-Verstößen und betriebliche Risiken zu beheben. Black Duck hat seinen Hauptsitz in Burlington, Massachusetts und hat Niederlassungen in Mountain View, London, Frankfurt, Hongkong, Tokio, Seoul und Peking.

Firmenkontakt
Black Duck
Birgit Fuchs-Laine
Prinzregentenstraße 79
81675 München
089-417761-13
blackduck@lucyturpin.com
https://www.blackducksoftware.de/

Pressekontakt
Lucy Turpin Communications
Birgit Fuchs-Laine
Prinzregentenstraße 79
81675 München
089-417761-13
blackduck@lucyturpin.com
https://www.blackducksoftware.de/

Allgemein

Black Duck Hub wird in HPE Security Fortify Software Security Center integriert

Bekannte Sicherheitsschwachstellen in Open Source-Code und in benutzerdefiniertem Code erkennen, priorisieren und beheben

Black Duck Hub wird in HPE Security Fortify Software Security Center integriert

(Bildquelle: Black Duck)

München, 13. Juli 2016 – Black Duck Software, ein weltweit führendes Unternehmen für automatisierte Lösungen zur Sicherung und Verwaltung von Open Source Software, gibt die Integration von Black Duck Hub in das HPE Security Fortify Software Security Center (SSC) von HP bekannt. Das SSC unterstützt Unternehmen dabei, die Anwendungssicherheit einzuschätzen und zu kontrollieren und zeigt mögliche Software-Risiken innerhalb des Unternehmens auf.

Für die Entwicklung von Anwendungen verwenden Unternehmen heutzutage eine Kombination aus Open Source und benutzerdefiniertem Code. Diese Mischung führt zu einem erhöhten Sicherheitsrisiko, komplexem Softwaremanagement und neuen Herausforderungen. Durch die Integration von Black Duck Hub können Unternehmen HPE Security Fortify nutzen, um bekannte Sicherheitsschwachstellen sowohl in Open Source-Code als auch in benutzerdefiniertem Code zu erkennen, zu priorisieren und zu beheben mit einer einheitlichen Sicht auf das HPE Security Fortify Software Security Center.

„Die Verwendung von Open Source Software ist in den letzten fünf Jahren erheblich gestiegen, da sich dadurch Entwicklungskosten und die Time-to-Market reduzieren lassen. Open Source ist weltweit stark verbreitet und kann bei großen Unternehmen bis zu 50% oder mehr der Codebasis ausmachen. Die Integration von Black Duck Hub in HPE Security Fortify bedeutet für den Kunden eine größere Transparenz und bessere Kontrolle der genutzten Open Source Software. Außerdem werden so bekannte Sicherheitsschwachstellen identifiziert, was Unternehmen ermöglicht, die Sicherheitsrisiken besser zu verstehen und entsprechend zu reduzieren“, so Lou Shipley, CEO von Black Duck.

„Ein starkes Ökosystem an Partnern, die während des Softwareentwicklungszyklus wichtigen Input zu Sicherheitsaspekten geben, ist unerlässlich um sicherzustellen, dass HPE Security Fortify einen ganzheitlichen Blick über die Anwendungssicherheit liefert“, so Jason Schmitt, Vice President and General Manager, HPE Security Fortify bei Hewlett Packard Enterprise. „Die Integration von Black Duck Hub erweitert unsere bereits bestehenden Lösungen für eine sichere Entwicklung und Sicherheitsprüfung. Die Ergebnisse der Open Source Scans werden direkt neben den Ergebnissen der Tests auf Anwendungssicherheit angezeigt und ermöglichen ein vollständiges und effektives Management der Applikationssicherheit.“

Die wichtigsten Funktionen von Black Duck Hub und der Integration in HPE Security Fortify umfassen folgende Features:

– Tiefer Einblick in den Open Source-Code: Schnelles Scannen und schnelle Identifikation von Open Source-Bibliotheken, -Versionen, -Lizenzen und Aktivitäten der Community durch die Black Duck KnowledgeBase – die weltweit umfassendste Open Source-Datenbank mit detaillierten Informationen über mehr als 1,5 Millionen Open Source-Projekte und mehr als 76.000 bekannten Sicherheitsschwachstellen.

– Umfassende Identifizierung Open Source-basierter Risiken: Nutzer können ein Verzeichnis mit sämtlichen genutzten Open Source-Komponenten sowie eine Übersicht sämtlicher bekannter Sicherheitsschwachstellen erzeugen. So lassen sich Schwachstellen identifizieren und anhand ihres Schweregrads priorisieren um geeignete Gegenmaßnahmen zu entwickeln.

– Orchestrierte Fehlerbehebung und das Durchsetzen von Richtlinien: Durch die priorisierte Behebung von Open Source Sicherheitsschwachstellen, Anleitungen zur Schadensminderung und ein automatisches Richtlinien-Management können sich Unternehmen einen genauen Überblick über ihre Maßnahmen zum Beheben der Mängel verschaffen und sowohl externe als auch interne Compliance-Vorschriften verwalten.

– Fortlaufende Suche nach neuen Sicherheitsschwachstellen: Das kontinuierliche Monitoring meldet neue Open Source-Schwachstellen.

Weitere Informationen
Sehen Sie sich unter www.blackducksoftware.com/HPE ein Demo-Video an oder fragen Sie ein eigenes an.
Für weitere Informationen, eine Demonstration oder einen kostenlosen Testlauf, melden Sie sich unter HPE@blackducksoftware.com.

Unternehmen auf der ganzen Welt nutzen die branchenführenden Produkte von Black Duck Software, um ihre Open Source Software zu schützen und zu verwalten und um die Gefahren von Sicherheitslücken, Compliance-Verstößen und Betriebsrisiken zu beseitigen. Black Duck hat seinen Hauptsitz in Burlington, Massachusetts und unterhält verschiedene Büros in Mountain View, London, Frankfurt, Hongkong, Tokio, Seoul und Peking.

Firmenkontakt
Black Duck
Birgit Fuchs-Laine
Prinzregentenstraße 79
81675 München
089-417761-13
blackduck@lucyturpin.com
https://www.blackducksoftware.de/

Pressekontakt
Lucy Turpin Communications
Birgit Fuchs-Laine
Prinzregentenstraße 79
81675 München
089-417761-13
blackduck@lucyturpin.com
https://www.blackducksoftware.de/