Software Supply Chain mit VMware Application Catalog

Die Welt der Software-Architekturen unterliegt einem kontinuierlichen Wandel. Früher basierten Anwendungen auf einfachen und zentralisierten 4-Schicht-Architekturen, die aus Hardware, Webserver, Datenbank und Anwendungen bestanden. Heute jedoch entwickeln sich Applikationsarchitekturen zu komplexen und dezentralisierten Systemen, die in der Cloud betrieben werden und die Stärken von Hypervisoren und anderen Software-Anbietern nutzen. Diese Transformation eröffnet neue Möglichkeiten, bringt aber auch Herausforderungen mit sich.

Die Bedeutung einer effizienten Software Supply Chain

In diesem Kontext wird die Bedeutung einer effizienten Software Supply Chain immer deutlicher. Doch was genau ist eine Software Supply Chain? Ähnlich wie eine physische Lieferkette bezieht sie sich auf den Prozess der Entwicklung, Bereitstellung und Wartung von Softwareprodukten. Hierbei werden verschiedene Softwarekomponenten von verschiedenen Quellen zusammengeführt, um ein vollständiges und funktionsfähiges Produkt zu erstellen. Dies kann die Integration von Open-Source-Komponenten, die Zusammenarbeit mit externen Entwicklern oder die Nutzung von Drittanbieter-Tools beinhalten. Eine effektive Software Supply Chain ist entscheidend, um sicherzustellen, dass die entwickelte Software sicher, zuverlässig und den Anforderungen der Benutzer gerecht wird.

Was ist eine CVE?

Im Kontext der Software Supply Chain spielt die Identifizierung und Benennung von Sicherheitslücken eine entscheidende Rolle. Hier kommt CVE ins Spiel, was für "Common Vulnerabilities and Exposures" steht. Jede erfasste Sicherheitslücke erhält eine eindeutige Kennung, die als CVE-ID bezeichnet wird. Dies ermöglicht Sicherheitsexperten, über Plattformen hinweg über eine bestimmte Sicherheitslücke zu kommunizieren und Informationen auszutauschen. Die CVE-Datenbank wird von der gemeinnützigen Organisation MITRE verwaltet und ist eine wichtige Ressource für die Sicherheitsgemeinschaft.

Was bedeutet SBOM?

Ein weiterer wichtiger Begriff in der Software Supply Chain ist SBOM, was für "Software Bill of Materials" steht. Dies bezieht sich auf eine Liste der Komponenten und Abhängigkeiten in einer Software. Ähnlich wie in der Fertigungsindustrie gibt eine SBOM einen Überblick über die verschiedenen Softwarekomponenten, die in einem Produkt verwendet werden, einschließlich Open-Source-Komponenten, Drittanbieter-Bibliotheken und intern entwickeltem Code.

Best Practices zur Software Supply Chain

Um die Risiken bei der Bereitstellung von Anwendungen zu minimieren, sollten Unternehmen einige bewährte Praktiken berücksichtigen:

• Beziehen Sie Softwarekomponenten nur von verifizierten und vertrauenswürdigen Quellen, nicht aus dubiosen Internetquellen.
• Minimieren Sie die Anzahl der genutzten Software-Versionen, um die Komplexität zu reduzieren.
• Standardisieren Sie die Konfiguration Ihrer Anwendungen im gesamten Unternehmen, um Inkonsistenzen zu vermeiden.
• Implementieren Sie umfassende Sicherheitsmaßnahmen, um Ihre Anwendungen zu schützen.
• Testen Sie Ihre Anwendungen auf verschiedenen Versionen Ihrer Zielplattformen.
• Verwenden Sie SBOMs, um Ihre Software auf bekannte Sicherheitslücken zu überprüfen.
• Halten Sie Ihre Anwendungen und ihre Komponenten stets auf dem neuesten Stand, um Sicherheits- und Leistungsprobleme zu vermeiden.

VMware Application Catalog: Die Lösung

Wie kann VMware Ihnen dabei helfen, diese Best Practices umzusetzen? Die Antwort liegt im VMware Application Catalog.

Bitnami Application Catalog: Ein kostenfreier Open-Source Katalog

Der Bitnami Application Catalog ist ein kostenfreier Open-Source Katalog, der über 140+ paketierte Open-Source-Applikationen in verschiedenen Formaten wie Containern, Helm-Charts und virtuellen Maschinen bietet. Dies ermöglicht es Entwicklern und Administratoren, vertrauenswürdige Open-Source-Software-Applikationen in Entwicklungs- und Testumgebungen schnell bereitzustellen.

VMware Application Catalog: Die Lösung für Produktivumgebungen

Allerdings stellen Produktivumgebungen besondere Anforderungen an die Software Supply Chain. Hier sind Kommerzieller Support, definierte Service Level Objectives (SLOs) für Upgrades, Governance und Sicherheits-Metadata wie SBOMs, CVE-Berichte, Herkunfts-Attestierung und digital signierte Artefakte von großer Bedeutung. VMware hat eine Enterprise-Version des Bitnami Catalogs veröffentlicht: VMware Application Catalog. Dabei handelt es sich um einen Cloud-Dienst, der es Kunden ermöglicht, ihren eigenen privaten Katalog von individuell paketierten Open-Source-Applikationskomponenten zu erstellen. Diese werden kontinuierlich gewartet und verifizierbar getestet, um in Produktivumgebungen eingesetzt zu werden.

Eine Übersicht der im Katalog enthaltenen Apps und Komponenten finden Sie hier. Auch hier sind über 140 anpassbare Building Blocks (Language Runtimes, App Components und Supporting Apps) aus vertrauenswürdigen Quellen enthalten – ebenfalls verfügbar in verschiedenen Formaten.

Key Highlights von VMware Application Catalog

Der VMware Application Catalog bietet einige wichtige Vorteile:

• Umfangreiche Bibliothek: Unternehmen haben Zugang zu einer umfangreichen Bibliothek verifizierter Komponenten in verschiedenen Formaten, was eine standardisierte Nutzung von Open-Source-Software ermöglicht.
• Kontinuierliches Monitoring: Die ständige Überwachung der Open-Source-Software gewährleistet, dass nur die neuesten und sichersten Versionen der Komponenten genutzt werden.
• Bill of Material: Integrierte SBOMs bieten Einblicke in die Software Supply Chain und die eingesetzten Komponenten.
• Air-gapped Support: Selbst in Umgebungen ohne vollständige Anbindung können die erzeugten Images verwendet werden.
• Wahl des Base Images: Unternehmen können aus verschiedenen Base Images wählen oder individuelle Base Images erstellen, um ihre eigenen Tools und Agenten zu integrieren.
• Automatisierte Validierung: Die Lösung bietet hohe Zuverlässigkeit in Multi-Cloud-Umgebungen.
• Enterprise Support für Sealed Secrets und Kubeapps: VMware unterstützt Unternehmen bei der Absicherung von Kubernetes Deployments und der Verwaltung von Kubernetes-Apps über eine intuitive GUI.

Fazit

Eine effiziente Software Supply Chain ist entscheidend, um die Sicherheit, Zuverlässigkeit und Qualität von Anwendungen sicherzustellen. VMware Application Catalog bietet eine umfassende Lösung, die Unternehmen dabei unterstützt, diesen Herausforderungen gerecht zu werden und Open-Source-Software effektiv zu nutzen. Mit der richtigen Software Supply Chain können Unternehmen sicherstellen, dass ihre Anwendungen den höchsten Standards entsprechen und gleichzeitig die Agilität und Innovationskraft bewahren.