O.TrdP 1: Unterschied zwischen den Versionen

Version vom 7. Mai 2024, 06:41 Uhr

Beschreibung

Der Hersteller MUSS eine zentrale und vollständige Liste von Abhängigkeiten durch externe Software, Bibliotheken und Frameworks führen.

Kurzfassung

Abhängigkeiten durch externe Software, Bibliotheken und Frameworks.

Anmerkungen

Prüftiefe

CHECK

Der Hersteller stellt eine Liste der eingesetzten externen Software, Frameworks und Bibliotheken inkl. der verwendeten Versionen bereit. Der Evaluator prüft die bereitgestellte Liste auf Vollständigkeit.

Lösungsansätze

Entwicklerseitig

Tools

Dependency Management Tools

Verwenden Sie Dependency-Management-Tools wie npm (für JavaScript/Node.js), pip (für Python), Maven (für Java), Composer (für PHP) oder andere ähnliche Tools für Ihre spezifische Sprache oder Plattform. Diese Tools ermöglichen es Entwicklern, Abhängigkeiten in ihren Projekten zu verwalten und automatisch eine Liste aller verwendeten externen Softwarebibliotheken und Frameworks zu generieren.

Build Automation Tools

Integrieren Sie Build-Automation-Tools wie Gradle, Apache Ant, Make oder ähnliche Tools in Ihren Build-Prozess. Diese Tools können so konfiguriert werden, dass sie automatisch eine Liste der Abhängigkeiten erstellen, wenn das Projekt kompiliert oder gebaut wird.

Package Managers

Verwenden Sie Paketmanager wie apt (für Linux), Homebrew (für macOS), Chocolatey (für Windows) oder ähnliche Paketmanager für Ihr Betriebssystem, um Abhängigkeiten zu verwalten und eine Liste aller installierten Pakete zu erstellen.

Statische Codeanalyse-Tools

Integrieren Sie statische Codeanalyse-Tools wie SonarQube, ESLint, PyLint, Checkstyle oder ähnliche Tools in Ihren CI/CD-Pipeline. Diese Tools können den Quellcode scannen und automatisch eine Liste aller externen Softwarebibliotheken und Frameworks extrahieren, die im Code verwendet werden.

Automatisierte Dokumentationstools

Verwenden Sie automatisierte Dokumentationstools wie Doxygen, Sphinx, JavaDoc oder ähnliche Tools, um automatisch eine Liste aller externen Abhängigkeiten zu generieren und in der Projektdokumentation aufzuführen.

Prüferseitig

Tools

OWASP Dependency Check

OWASP Dependency-Check ist ein Open-Source-Tool, das automatisiert Schwachstellen in den Abhängigkeiten von Java-, .NET- und Ruby-Projekten identifiziert. Es kann in CI/CD-Pipelines integriert werden, um automatisch nach bekannten Sicherheitslücken in den verwendeten Bibliotheken zu suchen.

Snyk

Snyk ist ein Sicherheits- und Compliance-Tool, das Entwicklern dabei hilft, Schwachstellen in ihren Abhängigkeiten zu finden und zu beheben. Es unterstützt eine Vielzahl von Sprachen und Plattformen und kann in CI/CD-Pipelines integriert werden, um automatisch nach Sicherheitslücken zu suchen.

Dependency Track

Dependency-Track ist ein Open-Source-Tool zur Verwaltung von Anwendungsabhängigkeiten und zur Identifizierung von Sicherheitslücken in diesen Abhängigkeiten. Es bietet Funktionen wie Schwachstellenscans, Lizenzmanagement und Policy-Compliance und kann in CI/CD-Pipelines integriert werden, um Abhängigkeiten automatisch zu überprüfen.

WhiteSource

WhiteSource ist eine Plattform für das Open-Source-Management, die Entwicklern dabei hilft, Open-Source-Abhängigkeiten zu verwalten, Sicherheitslücken zu finden und Compliance-Richtlinien einzuhalten. Es bietet Integrationen mit verschiedenen CI/CD-Tools und kann automatisch Sicherheits- und Compliance-Scans durchführen.

Sonatype Nexus Lifecycle

Sonatype Nexus Lifecycle ist eine Plattform zur Automatisierung des Open-Source-Risikomanagements. Es bietet Funktionen wie automatisierte Schwachstellenscans, Lizenzüberprüfungen und Richtlinienverwaltung für Abhängigkeiten und kann in CI/CD-Pipelines integriert werden, um Sicherheits- und Compliance-Scans durchzuführen.

Einzelnachweise und Ressourcen

BSI-TR-03183-2

@@ Zeile 16: / Zeile 16: @@
 ;Tools
 :Dependency Management Tools
-:: Verwenden Sie Dependency-Management-Tools wie npm (für JavaScript/Node.js), pip (für Python), Maven (für Java), Composer (für PHP) oder andere ähnliche Tools für Ihre spezifische Sprache oder Plattform. Diese Tools ermöglichen es Entwicklern, Abhängigkeiten in ihren Projekten zu verwalten und automatisch eine Liste aller verwendeten externen Softwarebibliotheken und Frameworks zu generieren.
+:: Verwenden Sie Dependency-Management-Tools wie [https://docs.npmjs.com/ npm] (für JavaScript/Node.js), [https://pip.pypa.io/en/stable/ pip] (für Python), [https://maven.apache.org/guides/index.html Maven] (für Java), [https://getcomposer.org/doc/ Composer] (für PHP) oder andere ähnliche Tools für Ihre spezifische Sprache oder Plattform. Diese Tools ermöglichen es Entwicklern, Abhängigkeiten in ihren Projekten zu verwalten und automatisch eine Liste aller verwendeten externen Softwarebibliotheken und Frameworks zu generieren.
 :Build Automation Tools
-:: Integrieren Sie Build-Automation-Tools wie Gradle, Apache Ant, Make oder ähnliche Tools in Ihren Build-Prozess. Diese Tools können so konfiguriert werden, dass sie automatisch eine Liste der Abhängigkeiten erstellen, wenn das Projekt kompiliert oder gebaut wird.
+:: Integrieren Sie Build-Automation-Tools wie [https://docs.gradle.org/current/userguide/userguide.html Gradle], [https://ant.apache.org/manual/ Apache Ant], [https://www.make.com/en/help/app/google-docs Make] oder ähnliche Tools in Ihren Build-Prozess. Diese Tools können so konfiguriert werden, dass sie automatisch eine Liste der Abhängigkeiten erstellen, wenn das Projekt kompiliert oder gebaut wird.
 :Package Managers
-:: Verwenden Sie Paketmanager wie apt (für Linux), Homebrew (für macOS), Chocolatey (für Windows) oder ähnliche Paketmanager für Ihr Betriebssystem, um Abhängigkeiten zu verwalten und eine Liste aller installierten Pakete zu erstellen.
+:: Verwenden Sie Paketmanager wie [https://ubuntu.com/server/docs/package-management apt] (für Linux), [https://brew.sh/ Homebrew] (für macOS), [https://chocolatey.org/ Chocolatey] (für Windows) oder ähnliche Paketmanager für Ihr Betriebssystem, um Abhängigkeiten zu verwalten und eine Liste aller installierten Pakete zu erstellen.
 :Statische Codeanalyse-Tools
-:: Integrieren Sie statische Codeanalyse-Tools wie SonarQube, ESLint, Pylint, Checkstyle oder ähnliche Tools in Ihren CI/CD-Pipeline. Diese Tools können den Quellcode scannen und automatisch eine Liste aller externen Softwarebibliotheken und Frameworks extrahieren, die im Code verwendet werden.
+:: Integrieren Sie statische Codeanalyse-Tools wie [https://docs.sonarsource.com/sonarqube/latest/ SonarQube], [https://eslint.org/docs/latest/ ESLint], [https://pylint.readthedocs.io/en/stable/ PyLint], Checkstyle oder ähnliche Tools in Ihren CI/CD-Pipeline. Diese Tools können den Quellcode scannen und automatisch eine Liste aller externen Softwarebibliotheken und Frameworks extrahieren, die im Code verwendet werden.
 :Automatisierte Dokumentationstools
-:: Verwenden Sie automatisierte Dokumentationstools wie Doxygen, Sphinx, Javadoc oder ähnliche Tools, um automatisch eine Liste aller externen Abhängigkeiten zu generieren und in der Projektdokumentation aufzuführen.
+:: Verwenden Sie automatisierte Dokumentationstools wie [https://www.doxygen.nl/manual/ Doxygen], [https://www.sphinx-doc.org/en/master/ Sphinx], [https://docs.oracle.com/javase/8/docs/technotes/tools/windows/javadoc.html JavaDoc] oder ähnliche Tools, um automatisch eine Liste aller externen Abhängigkeiten zu generieren und in der Projektdokumentation aufzuführen.
 === Prüferseitig ===
 ;Tools
-:OWASP Dependency-Check
+:[https://owasp.org/www-project-dependency-check/ OWASP Dependency Check]
 :: OWASP Dependency-Check ist ein Open-Source-Tool, das automatisiert Schwachstellen in den Abhängigkeiten von Java-, .NET- und Ruby-Projekten identifiziert. Es kann in CI/CD-Pipelines integriert werden, um automatisch nach bekannten Sicherheitslücken in den verwendeten Bibliotheken zu suchen.
-:Snyk
+:[https://snyk.io/de/ Snyk]
 :: Snyk ist ein Sicherheits- und Compliance-Tool, das Entwicklern dabei hilft, Schwachstellen in ihren Abhängigkeiten zu finden und zu beheben. Es unterstützt eine Vielzahl von Sprachen und Plattformen und kann in CI/CD-Pipelines integriert werden, um automatisch nach Sicherheitslücken zu suchen.
-:Dependency-Track
+:[https://github.com/DependencyTrack/dependency-track Dependency Track]
 ::Dependency-Track ist ein Open-Source-Tool zur Verwaltung von Anwendungsabhängigkeiten und zur Identifizierung von Sicherheitslücken in diesen Abhängigkeiten. Es bietet Funktionen wie Schwachstellenscans, Lizenzmanagement und Policy-Compliance und kann in CI/CD-Pipelines integriert werden, um Abhängigkeiten automatisch zu überprüfen.
-:WhiteSource
+:[https://www.opensourceprotection.com/Open-Source-Security.asp WhiteSource]
 :: WhiteSource ist eine Plattform für das Open-Source-Management, die Entwicklern dabei hilft, Open-Source-Abhängigkeiten zu verwalten, Sicherheitslücken zu finden und Compliance-Richtlinien einzuhalten. Es bietet Integrationen mit verschiedenen CI/CD-Tools und kann automatisch Sicherheits- und Compliance-Scans durchführen.
-:Sonatype Nexus Lifecycle
+:[https://help.sonatype.com/en/sonatype-lifecycle.html Sonatype Nexus Lifecycle]
 :: Sonatype Nexus Lifecycle ist eine Plattform zur Automatisierung des Open-Source-Risikomanagements. Es bietet Funktionen wie automatisierte Schwachstellenscans, Lizenzüberprüfungen und Richtlinienverwaltung für Abhängigkeiten und kann in CI/CD-Pipelines integriert werden, um Sicherheits- und Compliance-Scans durchzuführen.
+== Einzelnachweise und Ressourcen ==
+[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03183/BSI-TR-03183-2.pdf?__blob=publicationFile&v=6 BSI-TR-03183-2]
-== Weiterführende Links ==
+== Weblinks ==
 <div class="relatedLinks">
 * [https://docs.npmjs.com/ npm]
@@ Zeile 70: / Zeile 72: @@
 * [https://help.sonatype.com/en/sonatype-lifecycle.html Sonatype Nexus Lifecycle]
 </div>
-== Einzelnachweise ==