Diese Website verwendet Cookies, um das Angebot nutzerfreundlicher und effektiver zu machen. Mit der Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Weitere Informationen über die Verwendung von Cookies und die Möglichkeit der Verwendung von Cookies zu widersprechen, finden Sie hier.

26. - 28. Februar 2019 // Nürnberg, Germany

Konferenzen und Rahmenprogramm

Zurück zur Tagesansicht
Session 18 - Software Engineering IV - Software Quality II

X-Ray Your Software Supply Chain. Automate Your Security Gates Vortragssprache Englisch

As seen with the IoT-based MIRAI botnet, security vulnerabilities can have their root cause several layers down in the supply chain. This is particularly threating for complex and deep supply chains as prevalent in domains such as automotive and industrial control systems. In this talk, we present our results from security scanning over 120,000 embedded software packages across a wide range of application domains. We automatically decomposed each software package into its component and cross-matched each component with its known security vulnerabilities as recorded in the National Vulnerability Database (NVD). We explain the purpose of the NVD, how to use it and how to make sense of the recorded Common Vulnerability Exposure (CVE) entries. We detail our findings by listing the components that are most commonly used, those that have most commonly a vulnerability as well as their age and the likelihood of existing patches that would remedy the situation. Moreover, we give an overview of the most critical vulnerabilities and the prevalence of “celebrity” bugs still active in embedded software. To remedy the situation, we explain how an automated, trustworthy supply chain process could look like that is built on various scanning and security gates across embedded suppliers, integrators and vendors. In particular, we take into account that many embedded vendors are not security experts. We explain how modern development and automated analysis solutions and methods such as static analysis, fuzz testing and composition analysis can assist market participants to deliver safer and more secure products faster. Finally, we highlight the role regulators are starting to play and demonstrate this by current activities in the supply chain certification space. We round off the talk by presenting lesson learnt and immediate suggestions the audience can explore in their own supply chain and software development lifecycle.

--- Datum: 28.02.2018 Uhrzeit: 16:30 Uhr - 17:00 Uhr Ort: Conference Counter NCC Ost

Sprecher

top

Der gewählte Eintrag wurde auf Ihre Merkliste gesetzt!

Wenn Sie sich registrieren, sichern Sie Ihre Merkliste dauerhaft und können alle Einträge selbst unterwegs via Laptop oder Tablett abrufen.

Hier registrieren Sie sich, um Daten der Aussteller- und Produkt-Plattform sowie des Rahmenprogramms dauerhaft zu speichern. Die Registrierung gilt nicht für den Ticket- und AusstellerShop.

Jetzt registrieren

Ihre Vorteile auf einen Blick

  • Vorteil Sichern Sie Ihre Merkliste dauerhaft. Nutzen Sie den sofortigen Zugriff auf gespeicherte Inhalte: egal wann und wo - inkl. Notizfunktion.
  • Vorteil Erhalten Sie auf Wunsch via Newsletter regelmäßig aktuelle Informationen zu neuen Ausstellern und Produkten - abgestimmt auf Ihre Interessen.
  • Vorteil Rufen Sie Ihre Merkliste auch mobil ab: Einfach einloggen und jederzeit darauf zugreifen.