Softwareunternehmen verlassen sich häufig auf eine vertraute Unterscheidung: Produkte sind reguliert, Services nicht. Cloud-Delivery-Modelle, abonnementbasierte Modelle und Remote-Verarbeitung wurden oft nicht nur als geschäftliche Innovationen betrachtet, sondern auch als Wege, regulatorische Risiken zu reduzieren. Der EU Cyber Resilience Act (CRA) stellt diese Annahme infrage. Entscheidend ist nach dem CRA nicht, ob etwas als „SaaS“ vermarktet wird, sondern ob es Teil

Eine der häufigsten Fragen zum Cyber Resilience Act (CRA) betrifft die Handhabe von Altsystemen. Hersteller aus verschiedenen Branchen fragen, ob sie Produkte, die sie vor Jahren entwickelt und auf den Markt gebracht haben, nach dem 11. Dezember 2027 weiterhin in der Europäischen Union verkaufen dürfen, ohne sie anzupassen. Dieser Blog beleuchtet die Thematik im Kontext der sich entwickelnden CRA-Standards und

Der zunehmende Fokus der Europäischen Union auf Software Bills of Materials (SBOMs), zuletzt sichtbar im ENISA-Bericht SBOM Landscape Analysis – Towards an Implementation Guide, stellt einen wichtigen und begrüßenswerten Schritt hin zu mehr Transparenz und Resilienz in Software-Lieferketten dar. SBOMs entwickeln sich rasch zu einem zentralen Baustein der Cybersicherheits-Governance im Rahmen des Cyber Resilience Act (CRA) und verwandter Regelwerke. Aus

Die Syscall-Ausnahme orientiert sich eng daran, wie der Linux-Kernel seine Benutzerschnittstelle nach User Space bereitstellt. Der durch die Syscall-Notiz abgedeckte Bereich besteht in erster Linie aus der User-Space-API (UAPI) des Kernels, die über Header-Dateien implementiert ist, die zur Einbindung durch Benutzerprogramme vorgesehen sind. Diese Header befinden sich hauptsächlich im Verzeichnis include/uapi/ (sowie in den architekturspezifischen Gegenstücken unter arch/*/include/uapi/) und definieren

Angesichts der weltweit zunehmenden Risiken in der Software-Lieferkette hat auch Indien beschlossen, seine Regulierungsmaßnahmen zu verstärken. In den letzten Jahren haben zwei wichtige Aufsichtsbehörden, das Indian Computer Emergency Response Team (CERT-In) und die Securities and Exchange Board of India (SEBI), Richtlinien herausgegeben, die die Software Bill of Materials (SBOM) in den Mittelpunkt der Cybersicherheits-Governance stellen, insbesondere im Finanz- und öffentlichen

Wenn es um das Management der Cybersicherheit und Software-Compliance geht, ist das Verständnis und die Erstellung von Software-Stücklisten (SBOMs) von entscheidender Bedeutung, insbesondere angesichts der zunehmenden Verwendung von Code von Drittanbietern und Open Source. Die Cybersecurity and Infrastructure Security Agency (CISA) hat sechs Arten von SBOMs definiert, die jeweils mit verschiedenen Phasen des Softwareentwicklungslebenszyklus (SDLC) verbunden sind. Hier finden Sie

Von Effizienz zum Risiko: Der Aufstieg des Vibe Coding Entwickler schreiben nicht jede Zeile Code von Grund auf neu. Die meisten Softwareprogramme nutzen bestehende Bibliotheken. Traditionell bedeutete dies die Wiederverwendung von geprüften, und lizenzierten freien und quelloffenen Codes. Nun kommt „Vibe Coding“ ins Spiel – die Praxis, generative KI-Tools zu verwenden, um schnell Gerüste, Hilfsfunktionen oder sogar zentrale Geschäftslogik zu

– Was sie für FOSS und SBOMs bedeutet Die Funkgeräterichtlinie ,,Radio Equipment Directive” (RED)1, offiziell bekannt als Richtlinie 2014/53/EU, ist der Rechtsrahmen der Europäischen Union für die Regulierung von Geräten, die über Funkwellen kommunizieren. Ihr Hauptziel ist es, sicherzustellen, dass Funkgeräte, die auf den EU-Markt gebracht werden, sicher sind, andere Geräte nicht stören und das Funkfrequenzspektrum effizient nutzen. Die RED

Open-Source-Compliance im Jahr 2024: Die entscheidende Rolle von Scan-Tiefe und SBOMs Die Welt der Cybersicherheit und Software-Compliance steht an einem Wendepunkt: Neue gesetzliche Regelungen wie der Cyber Resilience Act (CRA), die Network und Information Security Directive (NIS2) und der Digital Operational Resilience Act (DORA) setzen Organisationen, besonders in der Europäischen Union, unter erhöhten Handlungsdruck. Die Zeiten, in denen Open-Source-Compliance ein

Stellen Sie sich vor, Sie könnten jede einzelne Komponente Ihrer Software wie eine Landkarte durchforsten – Risiken auf einen Blick erkennen, versteckte Abhängigkeiten aufspüren und Schwachstellen mühelos entlarven. Genau das macht eine Software-Stückliste (SBOM) möglich! Der Artikel beleuchtet, warum diese „Zutatenliste“ moderner Softwareprojekte heute unverzichtbar ist, vor allem da Open Source mittlerweile einen Löwenanteil in der Entwicklung einnimmt. Noch besser:

Frau Wittman ist Anwältin in München und Partner von Bitsea. Um die digitale operative Widerstandsfähigkeit zu verbessern, hat die Europäische Kommission im Rahmen ihres Digital Finance Package 2020 den Digital Operational Resilience Act (Verordnung (EU) 2022/2554 – „DORA“) eingeführt. Derzeit sind die Vorschriften zur digitalen Widerstandsfähigkeit über verschiedene sektorspezifische EU- Gesetze und -Richtlinien verstreut (z. B. MiF II, CRD, PSD2,

Heute beleuchten wir ein Thema, das nach wie vor als „kleine Schwester des Programmierens“ nur zu gerne unter den Tisch fallen gelassen wird. Was vor 20 Jahren noch kaum jemanden tangierte, soll in unmittelbarer Zukunft unter staatliche Kontrolle gesetzt werden! Wie wir mittlerweile wissen ist ein großer Kernpunkt der Bitsea die Prüfung auf versteckte Risiken in Software. Der erste Gedanke

Open Source ist allgegenwärtig: Kaum ein Produkt kommt heute ohne digitale Komponenten aus, von elektrischen Zahnbürsten, Babymonitoren bis hin zu Smartwatches. Weniger offensichtlich für viele Benutzer ist das Sicherheitsrisiko, das solche Produkte und die inbegriffene Software darstellen können. Der neue europäische Cyber Resilience Act zielt darauf ab, dass Verbraucher sichere Produkte erhalten. Die Verordnung wurde in der EU-Cybersicherheitsstrategie 2020 angekündigt

Was ist die NIS2-Richtlinie? Die NIS2-Richtlinie oder die „Richtlinie über die Sicherheit von Netz- und Informationssystemen“ ist eine Richtlinie der Europäischen Union (EU), die darauf abzielt, die allgemeine Cybersicherheit und Widerstandsfähigkeit von Netz- und Informationssystemen in verschiedenen kritischen Sektoren zu verbessern. NIS steht für „Network and Information Systems“ (Netz- und Informationssysteme). Die Richtlinie wurde ursprünglich 2016 verabschiedet und trat im

Was ist der Cyber Resilience Act? Der europäische Cyber Resilience Act (CRA) zielt darauf ab, die Rahmenbedingungen für die Entwicklung sicherer Produkte mit digitalen Elementen festzulegen, indem sichergestellt wird, dass Hardware- und Softwareprodukte mit weniger Schwachstellen auf den Markt gebracht werden und dass die Hersteller die Sicherheit während des gesamten Lebenszyklus eines Produkts ernst nehmen. Sie wurde im September 2022

Open Source Software (OSS) ist überall und ist für die moderne Software-Entwicklung unverzichtbar geworden. Ein typisches Softwareprodukt enthält heute oft mehr als 90% Open Source. Die Nutzung von OSS ist in den letzten Jahren aus vielfältigen Gründen immer weiter sprunghaft angestiegen. Alarmiert durch spektakuläre Cyberangriffe auf die Software-Lieferkette wurden in den USA Vorgaben wie die „Executive Order on Improving the

Wenn wir über die Sicherheit in Bezug auf die Software-Lieferkette und das Software-Management von Drittanbietern sprechen, ist es wichtig, dass die von Ihnen verwendeten Tools detaillierte Berichte über bekannte und unbekannte Schwachstellen in Anwendungen sowie über den Grad des Missbrauchs dieser anfälligen Komponenten liefern. Andernfalls haben Sie lediglich eine Liste der SBOM-Teile, ohne dass Sie viel damit anfangen können. In

In diesem Artikel erörtert Kendra Morton, Product Marketing Team Leader bei Revenera, wie die Softwarebranche auf Open Source Software angewiesen ist. Sie stellt fest, dass die meisten Anwendungen eine Mischung aus proprietärem Code, Drittanbieter- und Open Source-Software sind. Morton beschreibt die Beschleunigung des Produktionsprozesses und den Anstieg der Softwarekomplexität. Morton identifiziert einige Herausforderungen wie die Zunahme von Sicherheitslücken. Daher haben

Shane Coughlan, General Manager von OpenChain, ging auf diese Frage ein, nachdem die National Telecommunications and Information Administration (NTIA) die Definition einer Mindeststückliste für Software (SBOM) gefordert hatte. Laut NTIA-FAQ ist eine SBOM eine strukturierte Liste aller Komponenten, Bibliotheken und Module, die eine Software benötigt. Zudem zeigt sie die Lieferkettenbeziehungen zwischen ihnen. Diese Komponenten können Open Source oder proprietär, kostenlos

Die neue Cybersecurity Executive Order 2021 – das Jahr der SBOM Bereits im Februar veröffentlichte Revenera einen Blog mit dem Titel „2021 wird das Jahr der automatisierten Software-Stückliste“, in dem die Cybersecurity Executive Order 2021 thematisiert wurde. Diese Vorhersage ist durch eine von Präsident Biden unterzeichnete Durchführungsverordnung der Realität ein ganzes Stück näher gekommen. Die Anordnung, die sich auf die