Anwendungssicherheit
SCA (Software Composition Analysis)
Auch bekannt als: Open-Source-Security, Dependency-Scanning
Definition
Automatisierte Analyse der Open-Source- und Drittanbieterkomponenten einer Anwendung, um bekannte Schwachstellen, Lizenzprobleme und veraltete oder riskante Abhängigkeiten zu erkennen.
Beispiele
- Dependabot öffnet Pull Requests, um verwundbare npm-Pakete zu aktualisieren.
- Snyk Open Source in der CI lässt den Build bei kritischen CVEs mit verfügbarem Fix fehlschlagen.
Verwandte Begriffe
SAST (Static Application Security Testing)
Automatisierte Analyse von Quellcode, Bytecode oder Binaries – ohne Ausführung – um Sicherheitsschwächen wie Injection, unsichere APIs oder schwache Kryptografie zu finden.
DAST (Dynamic Application Security Testing)
Blackbox-Sicherheitstests, die eine laufende Anwendung über das Netzwerk untersuchen, um nur zur Laufzeit sichtbare Schwachstellen wie Injection, Auth-Fehler und Fehlkonfigurationen zu finden.
CVE (Common Vulnerabilities and Exposures)
Öffentlicher Katalog, der jeder offengelegten Software- oder Hardware-Schwachstelle einen eindeutigen Bezeichner zuweist, um sie branchenweit eindeutig zu referenzieren.
DevSecOps
Eine Kultur und Praxis, die Sicherheitsverantwortung in DevOps-Workflows integriert, damit Teams sichere Software kontinuierlich und schnell ausliefern.
Supply-Chain-Angriff
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
Log4Shell (CVE-2021-44228)
Kritische Remote-Code-Execution-Schwachstelle in Apache Log4j 2 von Dezember 2021, die durch Loggen einer einzigen JNDI-Lookup-Zeichenfolge auslösbar war.