Cloud-basierte Software Composition Analysis von Revenera SaaS-Lösung für die Erstellung von Software-Bill-of-Materials

Von Stephan Augsten

Anbieter zum Thema

Der Open-Source-Compliance-Spezialist Revenera erweitert das Portfolio für Software Composition Analysis, kurz SCA, um ein Software-as-a-Service-Angebot. Beim Erstellen von Software-Bill-of-Materials hilft künftig SBOM Insights.

Wer die US-Regierung zu seinen Kunden zählen will, muss seit Mai 2021 eine Software-BOM für jedes Produkt bereitstellen.
Wer die US-Regierung zu seinen Kunden zählen will, muss seit Mai 2021 eine Software-BOM für jedes Produkt bereitstellen.
(Bild: Revenera)

Revenera SBOM Insights aggregiert Daten aus unterschiedlichen Quellen und fasst die detaillierten Informationen über Lizenzierung, Version und Herkunft (Drittanbieter, Open Source Software) in einer Stückliste standardisiert zusammen. Die Auflistung deckt laut Hersteller die gesamte Software Supply Chain ab – einschließlich der Upstream-Partner und Drittanbieter. Hinzu kommen Daten aus SCA-Scans, Open Source Software-Libraries und anderen Data Services.

All diese Informationen werden formatunabhängig importiert, abgeglichen und normalisiert. Die Automatisierung gewährleistet Revenera zufolge eine lückenlose Dokumentation und reduziert die Fehleranfälligkeit der Software-Bill-of-Materials. Die Überwachung und Analyse der Komponenten verweise dabei auch auf Sicherheits- und Compliance-Risiken.

Developer, Sicherheits- und Compliance-Fachkräfte sowie Open Source Programm Officer (OSPO) können auf Knopfdruck Compliance-Artefakte erstellen, die Nutzung von Komponenten im Entwicklungsprozess nachverfolgen und Impact-Analysen für bekanntgewordene Schwachstellen durchführen. Partner entlang der Software Supply Chain profitieren von höherer Transparenz und Sicherheit sowie einem einfachen und automatisierten Prozess bei der Weitergabe von Code-Informationen.

Nicole Segerer, SVP and General Manager of Revenera hält diesen Einblick in den eigenen Anwendungscode für elementar: „Wenn beispielsweise die nächste Schwachstelle in einer Open-Source-Komponente publik wird, wie seinerzeit Log4Shell, haben Anbieter mit SBOM Insights alle wichtigen Informationen parat, um ruhig, souverän und zielgenau Maßnahmen zu treffen – egal ob der angreifbare Code intern entwickelt wurde oder aus externer Hand stammt.”

(ID:48580841)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung