Sponsor im Fokus: REWE digital 04.09.2023

Gesponsorter Artikel

Wir leben in einer Zeit, in der wir uns alle stark auf Drittanbieter-Software verlassen - ob privat im Smart Home mit z.B. Home Assistant oder im unternehmerischen Kontext bei der Verwendung beliebter Softwarebibliotheken.
Einen Überblick zu behalten kann eine wahre Herausforderung sein. Was für Lizenzen habe ich im Einsatz? Hat meine Software bekannte Schwachstellen? Wie also den besagten Überblick behalten? Und wie macht man dies in einem Unternehmen der Größe der REWE digital, in dem Software vom Lager- bis zum Kassensystem entwickelt wird? Zum Glück gibt es auch hierfür hervorragende Tools aus der Open Source Community.

In unserem Vortrag am 15. September um 17 Uhr beleuchten wir die Open Source Tools Syft und Grype der Firma Anchor.
Syft ist ein in Golang geschriebenes Command Line Interface (CLI) Tool zum Generieren sogenannter Software Bill of Materials (kurz SBOM). Eine SBOM bietet eine Übersicht darüber, welche Open Source-Komponenten oder Drittanbieter-Tools in einer Software verwendet werden, sowie Informationen über deren Versionen und Herkunft. Der tatsächliche Wert einer SBOM liegt in der Sicherstellung von Compliance, Lizenzverwaltung, Sicherheit und Transparenz. Die ermittelten Daten können Dank offener Standardformate wie SPDX oder CycloneDX leicht weiterverarbeitet werden.

Dies macht sich auch Grype zunutze - ein ebenso in Golang geschriebenes CLI-Tool für Schwachstellen-Scans. Gescannt werden Pakete von Betriebssystemen (Alpine, CentOs, Debian, Red Hat, Ubuntu, ...), Pakete (Libs) von Programmiersprachen (Java, JS, Python, Golang, Rust, ...), Container Images oder auf Basis der erwähnten SBOMs.