Flexera erhöht Automatisierungsgrad für Open-Source-Management

Die neue Version ermöglicht es, das Scannen von Open-Source-Komponenten nahtlos in den agilen DevOps-Prozess einzubinden. Anbieter können ihre Software-Assets per Mausklick analysieren, automatisch Software-Stücklisten (BOM) erstellen und so Schwachstellen schneller identifizieren und beheben. Dadurch steigt die Sicherheit und Transparenz in der gesamten Software Supply Chain.

Die neuen Features im Überblick:

• Bill of Materials auf Knopfdruck
  Um Software Composition Analysis fehlerfrei und vollständig durchzuführen, ist eine speziell dafür zugeschnittene Plattform nötig, die eine Automatisierung sowie passende Workflows zur Analyse von Open-Source-Komponenten und zur Problembehebung ermöglicht. Die neue Version von FlexNet Code Insight bietet Anbietern einen deutlich höheren Automatisierungsgrad bei der Stücklistenerstellung für eine genaue Dokumentation der genutzten OSS-Komponenten. Angesichts der wachsenden Komplexität von Software-Lieferketten sowie Sicherheitsbedenken und Compliance-Fragen seitens Anbietern und Käufern ist dies unerlässlich. Anhand einer detaillierten Stückliste können Unternehmen entsprechend den Compliance-Vorgaben handeln und Schwachstellen schnell erkennen.
• Automatisierte Inventarisierung und Erkennungsmethoden
  FlexNet Code Insight bietet eine automatisierte Inventarisierung sowie tiefgreifende Erkennungstechniken, die auch Abhängigkeiten aufzeigen. So sparen Anbieter Zeit und können noch schneller OSS-Komponenten rückverfolgen – auch wenn sie noch so tief verborgen sind. Dabei lassen sich Open-Source-Scans individuell steuern und anpassen, um beispielsweise nur nach Top-Level-Komponenten zu suchen oder einen detaillierten Einblick in direkte und transitive Abhängigkeiten zu erhalten.
• Mehr Schutz durch ganzheitliche Vulnerability Intelligence
  Unternehmen, die Open-Source verwenden, benötigen eine genaue Liste zum Abgleich von genutzten Komponenten und enthaltenen Sicherheitslücken. FlexNet Code Insight enthält weitreichende Vulnerability-Intelligence: Die Lösung greift dabei auf die Datenbank von Secunia Research von Flexera sowie der National Vulnerability Database (NVD) zu und kann so 70.000 Schwachstellen zuordnen und kategorisieren (Vulnerability Mappings). Schwachstellen werden direkt im Softwarebestand eines Anbieters identifiziert und gemeinsam mit Angaben zu Kritikalität sowie den erforderlichen Maßnahmen gemeldet. Das Ergebnis ist ein detaillierter Risikobericht, der es Flexera-Kunden ermöglicht, sich auf die anfälligsten Komponenten zu konzentrieren und auf Basis von Advisories die notwendigen Maßnahmen einzuleiten.
• Einfache Integration und Plugins
  Mit 15 vorkonfigurierten Integrationen können Entwicklerteams OSS-Scans einfach in ihren CI/CD-Prozess einbinden und Daten aus anderen Systemen nutzen. Der Code wird während des Build-Prozesses gescannt, um Fehler frühzeitig zu erkennen und zu beheben und mögliche Verzögerungen von Produkt-Releases zu vermeiden. Tritt ein Fehler auf, kann ein Jira-Ticket erstellt werden, um das Problem zu beheben und den Code zu korrigieren. Integrationen stehen unter anderem für Jenkins, JIRA ALM, Git, Maven, Gradle, Artifactory, Perforce SCM, Docker, VSTS, GitLab und Team City zur Verfügung.

„Mit FlexNet Code Insight sind Softwareanbieter echten Gefahren innerhalb der gesamten Software Supply Chain einen Schritt voraus“, so Jeff Luszcz, Vice President of Product Management bei Flexera. „Mehr als 50 Prozent des in kommerzieller Software enthaltenen Codes ist Open-Source. Gleichzeitig wächst die Anzahl der Schwachstellen in nicht dokumentierten Open-Source-Komponenten. Nicht immer sind sich Softwarekäufer des damit verbundenen Sicherheitsrisikos im Klaren. Durch die höhere Benutzerfreundlichkeit und Schnelligkeit sowie die umfangreichen Vulnerability-Intelligence-Daten bietet FlexNet Code Insight einen ganzheitlichen Ansatz, um OSS-Risiken in der Software-Lieferkette zu reduzieren und die Software Composition Analysis zu verbessern.“

Luszcz fügt hinzu: „Das Scannen und Analysieren von Open-Source sollte in jedem Unternehmen, das Software entwickelt, ein Standardprozess sein. Durch die tiefgehende und vorkonfigurierte Integration von bestehenden Tools und Prozessen ermöglicht es Flexera Kunden, das Scannen und Beheben von Schwachstellen zu einem festen Teil ihrer Softwareentwicklung zu machen – für sichere und lizenzkonforme Produkte.“