Durch das Cyber Resilience Gesetz (CRA) und die Technische Richtlinie des BSI (TR-03831) haben Cybersecurity und Security Lifecycle Maintenance deutlich an Relevanz für die Produktgestaltung gewonnen. Dies gilt auch für etablierte Normen wie IEC 62443 oder gleichwertige Normen in anderen Bereichen.

Sie alle verlangen, dass die Produktsicherheit ein fester Bestandteil der Entwicklung ist - von Anfang an („Security by Design“) bis zur Entsorgung des Produkts. Und sie alle fordern eine kontinuierliche Überwachung und Verwaltung aller sicherheitsrelevanten Aspekte während des gesamten Produktlebenszyklus. Ein einmal festgelegtes Sicherheitsniveau muss beibehalten werden und es muss möglich sein, es aufgrund neuer Marktanforderungen zu verbessern.

infographik CVE monitoring, SBOM, analysis, report, mitigation
emlix CVE Security Monitoring unterstützt Sie während des gesamten Lebenszyklus Ihrer Embedded Linux basierten Produkte.

Das „CVE bzw. Vulnerability Monitoring“ als Teil der Schwachstellenbehandlung sorgt dafür, dass die Systemsoftware - und hier die Embedded Linux Software - kontinuierlich auf Aktualität in Bezug auf Versionierung, Konfiguration und die integrierten Komponenten überprüft wird.

Dies kann in vier Stufen unterteilt werden:

  • SBOM (Software Bill of Material): Extraktion aller enthaltenen (OSS-)Komponenten und Integration für weitere Schritte
  • Analyse: Identifikation aller zutreffenden Schwachstellen sowie die Bewertung jedes Findings hinsichtlich seiner Relevanz und seiner Auswirkungen auf die Produktsicherheit
  • Reporting: Dokumentation der Ergebnisse
  • Mitigation: Identifikation und Entwicklung von Mitigations für alle relevanten Vulnerabilitäten. Bei Open-Source-Software handelt es sich meist um Patch- und Update-Management.

SBOM

Falls diese nicht vom Kunden zur Verfügung gestellt wird, erstellt emlix eine SBOM für alle in der Systemsoftware enthaltenen Komponenten und Pakete. Sie wird in Übereinstimmung mit IEC 5230:2020 erstellt.

 

Analyse

Die Analyse besteht aus zwei Schritten.

  • Monitoring: Auf Basis der SBOM wertet emlix in einem weitgehend automatisierten Prozess die National Vulnerability Database (NVD) und die Mitre Common Vulnerabilities und Exposure Database aus. Zusätzlich werden einige weitere, teilweise sogar produktspezifische Quellen unter Beobachtung gehalten.
  • Bewertung und Kontextualisierung: Wie in den Standards gefordert, wird jedes Finding von emlix-Experten bewertet. In einem ersten Schritt werden Paketversionen und Konfigurationen berücksichtigt. In einem zweiten Schritt wird die Relevanz jedes Findings hinsichtlich möglicher Risiken, die sich aus dem Betriebs- und Anwendungskontext sowie der Risikostruktur des Produkts ergeben, bewertet. Zusätzlich wird die komponentenspezifische Exposition gegenüber Schwachstellen berücksichtigt.
     

Report

  • emlix erstellt einen CVE-Sicherheitsbericht mit einer klaren Darstellung aller Sicherheitsprobleme, Gegenmaßnahmen und einer Empfehlung für weitere Schritte (pdf oder CycloneDX, VEX oder SPDX). Er basiert auf dem Monitoring und der anschließenden Experteneinschätzung. Er liefert damit valide Inhalte für die Security-Compliance-Erklärungen der Lieferanten (insbesondere hinsichtlich CVE-Monitoring, Vulnerability-Handling sowie Patch- und Update-Management). Auf Kundenwunsch kann der Report über eine von emlix gehostete Dependency Track Instanz zur Verfügung gestellt werden. Er bietet erweiterte Möglichkeiten zur Visualisierung und weiteren Analyse von SBOM- und CVE-Daten.
  • Schwachstellen, Risiken und Abhilfemaßnahmen werden in regelmäßigen Meetings mit unseren Kunden besprochen.

 

Schutzmaßnahmen

  • Auf Wunsch unterstützen wir unsere Kunden bei der Release-Planung und dem Update-Management. Die emlix Embedded Linux-Experten bereiten neue Releases mit allen relevanten Updates und Patches in Absprache mit unseren Kunden vor. Manchmal sind Ad-hoc-Updates aufgrund eines schwerwiegenden Sicherheitsproblems erforderlich. Typischerweise werden unsere Kunden regelmäßige Updates in die üblichen Produktpflegezyklen integrieren.

Benefits für unsere Kunden

emlix CVE Security Lifecycle Management bietet Ihnen:

  • die Aufrechterhaltung eines anfänglichen Produkt-Sicherheitslevels durch kontinuierliche Identifizierung und Bewertung von Schwachstellen und Schutzmaßnahmen.
  • eine hocheffiziente produkt- und anwendungsspezifische Risikobewertung durch erfahrene Experten, die zu einer deutlichen Kosten- und Risikoreduzierung bei der Produktpflege führt.
  • eine transparente und verständliche Darstellung und Berichterstattung über Schwachstellen, Risiken und Schutzmaßnahmen mit aussagekräftigen Kommentaren und Empfehlungen.
  • valide Informationen für Erklärungen zur Einhaltung der Sicherheitsbestimmungen durch den Lieferanten und Berichte als Teil des Schwachstellenoffenlegungsprozesses des Kunden
  • Planbarkeit von Releases und Updates
  • eine effiziente und kostengünstige Durchführbarkeit.

Das emlix CVE Security Lifecycle Management und - optional - das Patch- und Update-Management ist im Hinblick auf verschiedene Standards und Vorschriften ausgelegt und trägt damit zur Compliance-Argumentation Ihres Produktes in Bezug auf Cybersecurity bei.

Weitere Informationen

Erfahren Sie mehr über das emlix CVE Security Monitoring. Unsere Linux Security-Spezialisten beraten Sie gerne.

Ihr Ansprechpartner

Unsere Experten aus dem emlix Solutions-Team
Tel. +49 551 306640
solutions@emlix.com