FOSS (Free and Open Source-Software) ist heute selbst in der Industrie allgegenwärtig, bringt aber auch Herausforderungen bei der Lizenzkonformität mit sich. Tools können dabei helfen, den Freigabeprozess zu automatisieren und Compliance sicherzustellen. Doch welches Werkzeug ist für welche Aufgabe das richtige?
Ob für eine Bill of Materials, eine schnelle Ermittlung eingesetzter Open-Source-Komponenten oder zur Informationsextraktion: Diverse Tools können dabei helfen, schnelll und übersichtlich etwaige Open-Source-Compliance-Richtlinien zu erfüllen.
(Bild: Pixabay)
Free and Open Source-Software (FOSS) ist aufgrund ihrer zahlreichen Vorteile kaum noch aus der Industrie wegzudenken. Neben dem offenen Entwicklungsmodell und der Möglichkeit, Software flexibel an die eigenen Bedürfnisse anpassen zu können, ist die einfache Wiederverwendbarkeit von Komponenten sicherlich das Hauptargument für den Einsatz von FOSS. Folglich beinhalten viele Produkte FOSS-Komponenten in erheblichem Umfang, und diese gilt es zu analysieren, freizugeben und zu verwalten.
Weiterhin müssen die Lizenzbedingungen ermittelt werden, um das Produkt lizenzkonform vertreiben zu können. Der hiermit verbundene Aufwand ist nicht unwesentlich, denken wir nur einmal an den Linux Kernel mit mehr als 100 Lizenzen und fast 70.000 Rechteinhabern. Aus diesem Grund ist es weder möglich noch empfehlenswert, die notwendigen Teilschritte eines Freigabeprozesses ausschließlich manuell zu bearbeiten. Erfreulicherweise gibt es eine stetig wachsende Anzahl an Tools, die bei diesen Aufgaben unterstützen.
Dieser Beitrag gibt einen Überblick zu den wichtigsten Bestandteilen einer Compliance Toolchain, den hierfür verfügbaren Tools und gibt dabei Empfehlungen, welches Tool für die jeweilige Aufgabe verwendet werden kann. Die vorgestellten Werkzeuge stehen selbst alle unter einer FOSS-Lizenz zur Verfügung.
Anforderungen an eine Compliance Toolchain
Bevor wir uns damit beschäftigen, welche Tools wann zum Einsatz kommen, müssen wir zunächst einmal genau betrachten, wie die Freigabe von FOSS-Komponenten für ein Produkt abläuft. Bild 1 zeigt die wichtigsten Teilschritte und den grundsätzlichen Workflow eines solchen Freigabeprozesses.
Bild 1: Anforderungen an eine Compliance Toolchain
(Bild: OSADL)
An erster Stelle steht die Ermittlung der eingesetzten Komponenten und deren Abhängigkeiten. Hierbei ist es wichtig zu dokumentieren, in welchem Kontext die jeweilige Software eingesetzt wird. Denn zur Bestimmung und Umsetzung der Lizenzpflichten muss nicht nur bekannt sein, welche Software eingesetzt wird, sondern auch wie diese eingesetzt wird und wie die Schnittstellen zu anderen Komponenten gestaltet sind. In den weiteren Schritten wird ermittelt, welche Lizenzen zum Einsatz kommen und ob diese für den jeweiligen Produktkontext geeignet sind. Die Ergebnisse dieser Arbeiten werden dann in einem Komponentenkatalog abgelegt und mit der Bill of Material dokumentiert. Je nach Produktumfeld und individueller Risikobewertung kann es zusätzlich noch notwendig sein, die eingesetzte Software auch auf unlizenzierte oder ungekennzeichnete Codesnippets zu scannen.
Bei der Betrachtung dieses Ablaufes wird schnell klar, dass nicht alle Aufgaben von einem einzelnen Tool abgedeckt werden können. Für jeden Zwischenschritt gibt es mehrere geeignete Werkzeuge, die zu einer Toolchain zusammengestellt werden müssen.
Bei der Definition einer solchen Toolchain spielen aber nicht nur Lizenzaspekte eine Rolle. Die eingesetzten FOSS-Komponenten müssen über die Produktlebenszeit selbstverständlich auch gepflegt und gewartet werden. Dies beinhaltet insbesondere das Erkennen bekannter Sicherheitslücken und die Bereitstellung sicherheitsrelevanter Updates. Die Zuständigkeiten für die korrekte Lizenzierung und für die Pflege der Software liegen zwar meist in unterschiedlichen Unternehmensbereichen, die damit verbundenen Arbeiten sind aber sehr eng verbunden und bauen zwingend aufeinander auf. Bei der Zusammenstellung einer geeignete Toolchain muss also darauf geachtet werden, dass die Zusammenarbeit der verschiedenen Disziplinen im Unternehmen gewährleistet ist. Hierfür muss in erster Linie sichergestellt sein, dass die jeweils verantwortlichen Teams Informationen austauschen, wiederverwenden und auch ergänzen können.
Die Analyse: Welche Software wird wie genutzt?
Die Ermittlung der eingesetzten FOSS-Komponenten scheint auf den ersten Blick eine einfache Aufgabe zu sein. Doch gerade dieser Schritt kann sich durchaus als sehr aufwendig herausstellen. Das genaue Vorgehen hängt hierbei in starkem Maße vom jeweiligen Buildsystem bzw. der verwendeten Distribution ab. Nun ist es zwar sehr einfach, über einen Paketmanager die installierten Komponenten zu ermitteln und zu dokumentieren, doch leider ist diese Information nicht immer ausreichend. Python oder Go zum Beispiel haben ein eigenes System zur Softwareinstallation und erfordern somit das Zusammentragen von Informationen aus ganz unterschiedlichen Quellen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Bild 2: Workflow des Open Source Review Toolkits (ORT).
(Bild: OSADL)
Das Open Source Review Toolkit (ORT) kann bei dieser Aufgabe unterstützen. Mit dem sogenannten Analyzer können die Abhängigkeiten eines Projektes ermittelt werden. Hierbei werden sowohl die Paketmanager aller gängigen Distributionen, als auch die Installationssysteme verschiedener Programmiersprachen unterstützt. Neben dem Analyzer bringt ORT übrigens eine ganze Reihe weiterer Werkzeuge mit, die zusätzliche Bereiche eines Freigabeprozesses abdecken können: Mit dem Advisor lassen sich bekannte Sicherheitslücken der eingesetzten Software ermitteln, der Downloader hilft dabei, die Quellen der verwendeten FOSS-Komponenten zu beschaffen. Scanner, Evaluator und Reporter decken die Teilschritte vom Scanning bis hin zur Bill of Material ab. Bild 2 zeigt die in ORT enthaltenen Tools und deren Workflow.
Eine besondere Herausforderung stellt der Einsatz von Containern dar. Durch die Kapselung von Abhängigkeiten lassen sich Applikationen mit Hilfe von Containern sehr einfach in beliebige Szenarien integrieren. Technologisch bringt dies viele Vorteile, doch die Erfüllung von Lizenzpflichten ist bei der Verwendung von Containern in Produkten durchaus mit einigen Fallstricken verbunden. In erster Linie ist es nicht immer einfach nachzuvollziehen, aus welchen Komponenten ein Container Image genau besteht. Daher stehen zur Analyse von Containern Werkzeuge wie der container-inspector zur Verfügung. Diese helfen zu verstehen, welche Layer zum Einsatz kommen und in welcher Verbindung diese zueinanderstehen.
Ein häufig leider vernachlässigter Aspekt ist die Betrachtung der genauen Verwendung einzelner Programme, insbesondere deren Verlinkung. Dies ist zum Beispiel wichtig, um beurteilen zu können, ob es sich bei einem Programm um ein abgeleitetes Werk handelt. Für abgeleitete Werke von FOSS-Komponenten, die unter einer Copyleft behafteten Lizenz stehen, gelten möglicherweise zusätzliche Lizenzierungspflichten, die bei der Weitergabe beachtet werden müssen. Wer solche direkten und indirekten Abhängigkeiten eines Binaries ermitteln möchte, dem steht das Programm callgraph zur Verfügung. Dieses wertet aus, welche Komponenten eines Rootfilesystems durch Funktionsaufrufe mit dem untersuchten Programm verbunden sind und somit ein gemeinsames Werk bilden.
Informatives Scanning: Extrahieren von Information
Bild 3: Informatives Scanning vs. Snippet matching.
(Bild: OSADL)
Nach der Analyse der verwendeten Komponenten und der Zusammenstellung des zugehörigen Sourcecodes folgt das sogenannte Scanning. Leider wird der Begriff Scanning häufig als Überbegriff für zwei völlig unterschiedliche Dinge verwendet. Zum einen für das Erkennen und Extrahieren von lizenzrelevanter Information, dem sogenannten informativen Scanning. Diese Form des Scannings ist zwingend erforderlich und dient nicht nur der Ermittlung der verwendeten Lizenzen, sondern hilft auch bei der Erfüllung von Lizenzpflichten, wie dem Extrahieren von Lizenztexten und von Urherbervermerken.
Zum anderen wird das Wort Scanning häufig auch für das Auffinden von Codesnippets, die nicht gekennzeichnet oder nicht lizenziert sind, verwendet. Hier spricht man von Snippet matching oder auch von forensischem Scanning. Dies kann je nach Produktkontext und Risikobewertung notwendig sein, ist jedoch nicht zwingend erforderlich. Bild 3 zeigt eine Gegenüberstellung beider Formen des Scannings.
Wir befassen uns in diesem Beitrag mit den Tools für informatives Scanning. Die bekanntesten Vertreter dieser Kategorie sind Scancode und FOSSology.
Scancode zeichnet sich durch einfache Installation und Anwendung aus. Es handelt sich um ein Kommandozeilenwerkzeug mit sehr wenigen Abhängigkeiten, das auf unterschiedlichen Betriebssystemen verwendet werden kann. Ein Aufruf von Scancode, um Quellcode auf Lizenzinformationen und Urhebervermerke zu scannen, kann wie folgt aussehen:
FOSSology verfolgt ein etwas anderes Konzept. Die Bedienung erfolgt über ein Web-Frontend und das Tool verfügt über ein Multi User Konzept. Genau genommen handelt es sich bei FOSSology nicht um ein Scanning Tool, sondern um ein Werkzeug zur Durchführung und Verwaltung von Scans. FOSSology ist von Hause aus mit drei Scannern ausgestattet, die mit unterschiedlichen Strategien arbeiten:
Nomos: Heuristiken und reguläre Ausdrücke
Monk: Textbasierte Suche
Ojo: Suche nach SPDX-License-Identifiern
Üblicherweise werden alle drei Scanner verwendet und die Ergebnisse kombiniert. In aktuellen Versionen besteht auch die Möglichkeit, Scancode zu integrieren. Neben dem reinen Scanning können mit FOSSology die Ergebnisse auch einem Review unterzogen und bearbeitet werden. Dies ist im Workflow auch explizit vorgesehen. Alle Scanergebnisse werden vom Anwender geprüft, bestätigt oder ggf. auch korrigiert.
Bild 4: Prüfung und Beurteilung von Scanergebnissen mit FOSSology.
(Bild: OSADL)
Bild 4 zeigt, wie sich dieser Ablauf in der FOSSology Oberfläche darstellt.
Dieser Vorgang kann sehr umfangreich und zeitintensiv sein. Daher bietet FOSSology bei Versionsupdates von bereits gescannten Komponenten die Möglichkeit, die Ergebnisse der alten Version zu übernehmen. Es müssen dann nur die Änderungen zwischen beiden Versionen betrachtet werden.
Insbesondere bei sehr großen Softwarepaketen ist die Wiederverwendung von Scanergebnissen ein äußerst wichtiger Aspekt. Auch bei der Verwendung von Scancode und anderen Scanning Tools gibt es geeignete Strategien, die eine solche Wiederverwendung vereinfachen.
Mit Deltascan lassen sich effizient Modifikationen am Linux Kernel identifizieren. Dies kann zum Beispiel genutzt werden, um die BSP Anpassungen, die ein Hardwarelieferant am Mainline-Kernel vorgenommen hat, zu isolieren und im Anschluss zu scannen.
Disjunctify wird verwendet, um den Quellcode einer alten und einer neuen Version eines Softwarepakets zu vergleichen. Hierbei werden geänderte und neue Dateien identifiziert und in ein neues Verzeichnis kopiert. Dort können diese dann einem Scan, z.B. mit Scancode, unterzogen werden.
Das Clearing: Sind die Lizenzen kompatibel und im Produkt einsetzbar?
Der nächste Schritt im Freigabeprozess ist das Clearing. Dies beinhaltet das Prüfen und das Bestätigen der Scan-Ergebnisse, die Untersuchung der erkannten Lizenzen auf Kompatibilität und die Beurteilung ob die verwendeten Lizenzen im jeweiligen Produkt- oder Projektkontext verwendet werden können. FOSSology bietet bereits umfangreiche Funktionen, mit denen auch ein Clearing durchgeführt werden kann. Neben der Prüfung der Scanergebnisse, ermöglicht FOSSology auch das Hinterlegen von Kommentaren, zum Beispiel für die Zusammenarbeit zwischen verschiedenen Disziplinen, wie dem verantwortlichen Open Source Compliance Officer und der Rechtsabteilung. Wird FOSSology für das Scanning eingesetzt, so kommt es üblicherweise auch beim Clearing zum Einsatz.
Neben FOSSology gibt es aber noch einige weitere Werkzeuge, die beim Clearing Anwendung finden. So bietet das Open Source Review Toolkit passende Teilkomponenten. Auch Opossum kann mit Funktionen aufwarten, die beim Clearing unterstützen.
Bill of Materials / Komponentenkatalog: Ablage und Dokumentation von Software- und Compliance Informationen
Die Ergebnisse des Scanning- und Clearing-Prozesses werden üblicherweise in einem Komponentenkatalog abgelegt. Idealerweise haben unterschiedliche Disziplinen, wie Open Source Compliance Teams oder Security Teams Zugriff darauf. Neben den Informationen über die eingesetzten Komponenten, wie Scan- und Clearing-Ergebnisse, sollte dort auch einfach abzufragen sein, welche Komponenten in welchen Projekten zum Einsatz kommen und ggf. auch in welchen Geräten welche Versionen im Umlauf sind.
SW360 bietet hierfür sehr umfangreiche Möglichkeiten. Allerdings gestalten sich Installation und Wartung sehr komplex. SW360 kann neben der Verwaltung von Komponenten auch zur Generierung einer Bill of Material verwendet werden. Auch ORT und Opossum bieten die Möglichkeit, eine Bill of Material zu erzeugen.
Fazit
Für die Freigabe von FOSS-Komponenten in einem Produkt sind unterschiedliche Teilschritte notwendig. Die Umsetzung dieser Aufgaben kann mit rein manuellem Aufwand nicht bewältigt werden. Hierfür existiert eine Vielzahl an Werkzeugen, die zu einer Compliance Toolchain kombiniert werden müssen. Eine solche Toolchain reduziert den Aufwand für den lizenzkonformen Vertrieb von FOSS in einem Produkt in erheblichem Maße, eine komplette Automatisierung des Freigabeprozesses ist aber nicht möglich. Denn die Überprüfung von Scan-Ergebnissen, die Beurteilung, ob Lizenzen mit dem Produktkontext vereinbar sind, und auch die Dokumentation der Softwarearchitektur erfordern immer manuellen Aufwand und fachliche Expertise. (sg)
Dieser Beitrag wurde mit freundlicher Genehmigung des Autors aus dem Tagungsband des ESE Kongress 2022 übernommen.
* *Jan Altenberg hat mehr als 15 Jahre Erfahrung in der Entwicklung und Pflege von Embedded-Linux-Systemen. Seit Oktober 2021 arbeitet er als Senior Open Source-Consultant und Embedded Systems Integrator für das Open Source Automation Development Lab (OSADL) eG.
:quality(80)/p7i.vogel.de/wcms/b8/20/b8203d9f2b6f6e61bff6c3fda15042d3/0128235802v2.jpeg "Die Forschenden aus dem Lehrstuhl für Robotik, Künstliche Intelligenz und Echtzeitsysteme testen die neue Architektur am Teststand der TUM. Im Bild (von links nach rechts): Chengdong Wu, Nils Purschke und Sven Kirchner. (Bild: besser 3 / TU München)")
:quality(80)/p7i.vogel.de/wcms/79/90/79901d8c1934b11223a53cb900b1aa85/das-20building-2092-20bei-20der-20microsoft-zentrale-20in-20redmond-20--20quelle-20coolcaesar-20via-20wikimedia-20commons-5184x2915v1.jpeg "Das Building 92 bei der Microsoft-Zentrale in Redmond. (Wikimedia Commons)")
:quality(80)/p7i.vogel.de/wcms/31/92/3192d2bddbdb052afd8904128dd7aec1/0123884994v2.jpeg "Projekte zur Entwicklung von Embedded-Systemen, wie auch die Systeme selbst, werden zunehmend komplexer. Modellbasiertes System-Engineering (MBSE) soll dabei helfen, diese zunehmende Komplexität in den Griff zu bekommen. Doch wann stößt das Prinzip an seine Grenzen? (Bild: KI-generiert / DALL-E)")
:quality(80)/p7i.vogel.de/wcms/b0/42/b04293b683f177fa6c781c1e00e1770f/0122968330v2.jpeg "Betrieb, Wartung, Updates: Während der Lebensdauer eines Embedded-Systems sind mehrere Lebenszyklus-Iterationen zu berücksichtigen. (Bild: © metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/53/cc53ebfd9f45b28eb918a8098b63846b/0127825678v1.jpeg "Im zweiten und letzten Teil der Artikelserie zu Latenzen wird gezeigt, wie sich Latenz mit dem richtigen RTOS, Interrupt-Optimierung, Low-Level-Code und Co-Design gezielt senken lässt. (Bild: Green Hills Software)")
:quality(80)/p7i.vogel.de/wcms/ac/ea/acea3ca6c15e0bd261c8bde5d3fe7bfb/0127825678v2.jpeg "Bild 1: Um Latenzzeiten in echtzeitkritischen Systemen verringern zu können braucht es erst einmal Verständnis, wie diese entstehen. Im ersten Teil unserer zweiteiligen Reihe werden die Schlüsselfaktoren untersucht, die sowohl auf Hardware- als auch auf Software-Ebene zur Latenz beitragen. (Bild: Green Hills Software)")
:quality(80)/p7i.vogel.de/wcms/93/d9/93d9211463a0af86eff0b83c359cd880/0127528428v1.jpeg "Mit Aufnahme von PREEMPT_RT in den Mainline-Kernel 6.12 wurde Linux vor etwa einem Jahr nativ echtzeitfähig. Wie kam es zu dieser Entwicklung- und wie lassen sich die Echtzeiteigenschaften von Linuc evaluieren? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9f/9d/9f9d8357928662c1173bad86e63f0fb0/0126749087v2.jpeg "Miss Magic: Für das aktuelle vom KITCar-Team für die Cognitive Autonomous Driving Challenge entwickelte selbstfahrende Modellfahrzeug musste das zugrunde liegende Embedded-System komplett umgestellt werden. Zum Einsatz kamen die Open-Source-Systeme FreeRTOS und micro-ROS. Dabei musste das mit Multithreading unerfahrene Team umfassende Analysem am System durchführen. (Bild: KIT)")
:quality(80)/p7i.vogel.de/wcms/ef/9a/ef9a10566eaa807a8fdad9cbff80246f/0126533084v1.jpeg "Die wachsende Bedeutung agentischer KI wird früher oder später zu einer Abkehr von klassischer UI-Interaktion führen: Werden Business-Anwendungen bald unsichtbar und ihr Branding für Anwender irrelevant? (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/2c/f12ce473545edd2bfd6e6608762ab4e0/0127849318v2.jpeg "Lösungsnah und praxisorientiert: In den Kompaktseminaren des ESE Kongress vermitteln anerkannte Experten konkretes Fachwissen, das Teilnehmer für den Berufsalltag verwenden können - belegt mit Zertifikat. (Bild: Nicolas Det / VCG)")
:quality(80)/p7i.vogel.de/wcms/3a/85/3a858a1047982c181208f48541ada2eb/0127829622v2.jpeg "Marco Schmid, CEO und Entwicklungsleiter von Schmid Elektronik, auf dem Shell Eco-Marathon: Mit den Methoden und Ansätzen, die der erfahrene System-Ingenieur auf der Rennstrecke lernte, konnte er sein Unternehmen mit neuen Arbeitsmethoden zu mehr Innovation und Resilienz verhelfen. (Bild: Schmid Elektronik)")
:quality(80)/p7i.vogel.de/wcms/8c/6f/8c6f6442be2e51474edb322865beea87/0128892896v1.jpeg "Eine neuartige Betrugsmasche nutzt fingierte Stellenangebote, um Software-Entwickler dazu zu bringen, über GitHub-Repositorien Malware auf ihre Rechner herunterzuladen. Während Kaspersky bereits seit 3 Jahren international vor sogenanntem \"GitVenom\" warnt, sind inzwischen auch Fälle in Deutschland bekannt geworden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/97/2c/972cdd9c0feba8b1f547ab8b59f20569/0128755598v2.jpeg "KI-Coding liefert Tempo, aber auch Schwachstellen. Richtlinien, Reviews und Security-Tests von IDE-Scanning bis Sandboxing machen den Code belastbar. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ce/6e/ce6efcc7a619f27ab72ec73ddfa4104a/0128150590v2.jpeg "Die neue Variante des Shai-Hulud-Wurms, dass nun das npm-Repository heimsucht, hat bereits über 27.000 Sätze an Zugriffsdaten abgegriffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b9/31/b9313f8284d9693b6fa4da6c8f6fc9cd/0127890201v2.jpeg "Bei der Entwicklung von Software für den Automotive-Bereich wird eine große Zahl unterschiedlicher Programmiersprachen eingesetzt. Aber welche Sprache ist am besten geeignet, um den strengen Anforderungen an Cybersecurity zu entsprechen? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/87/22/8722bf4b4f589ef0fb8edea072ab2233/0128050160v2.jpeg "Trust in Rust: Gerade wenn es um Speicher- und Anwendungssicherheit geht, könnte es sich für Embedded-Entwickler lohnen, auf Trust als Programmiersprache der Wahl zu setzen. (Bild: Rust Foundation)")
:quality(80)/p7i.vogel.de/wcms/fb/f0/fbf0a08d385a84614563ef9c5f500f90/0126977852v2.jpeg "Das Aufkommen von KI-Assistenten macht sich vor allem bei Skriptsprachen, bei denen häufig „Vibe-Coding“ zum Einsatz kommt, deutlich bemerkbar. Aber auch Programmiersprachen, die für ganz spezielle Aufgabenbereiche zugeschnitten sind, scheinen mit dem Einsatz von GenAI zur Codegenerierung and Bedeutung – oder zumindest Sichtbarkeit – zu verlieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ce/73/ce73133538ef419fc588f7f8471735aa/0126806836v2.jpeg "Mindestens 180 über das npm-Repository verbreitete Open-Source-Pakete der Programmiersprache JavaScript sind von einem selbst replizierencen Wurm befallen. Die Malware greift Zugangsdaten ab und identifiziert Repositorien anderer Open-Source-Pakete, in die sie sich einschleust und so weiter über das npm-Ökosystem verbreitet. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/6a/b4/6ab425994d3a51adb386ff1f6ac057c4/90781066v2.jpeg "Einzelne Vorgänge innerhalb eines Embedded-Systems nachzuvollziehen oder zu analysieren kann sich als Herausforderung gestalten. Linux bietet nativ bereits eine Tracing-Infrakstruktur und hält eine Reihe von Tracing-Tools bereit, mit der sich Ereignisse gezielt steuern oder überprüfen lassen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/15/73/1573bb05ef0a53c3b4a9473f9b4397f6/0128933070v2.jpeg "Vector Code Testing stärkt sein Produktportfolio mit der RocqStat-Technologie von StatInf für die Timing-Analyse. (Bild: Vector Informatik GmbH)")
:quality(80)/p7i.vogel.de/wcms/e3/ff/e3fff7793f39cb358f0b96db2b06680c/0128775174v1.jpeg "KI-Agenten können Entwickler beim Testen von Embedded-Systemen auf mehreren Ebenen unterstützen. Welche Bereiche profitieren hier besonders - und worauf sollte man an diesen Stellen besonders achten? (Bild: emintes)")
:quality(80)/p7i.vogel.de/wcms/93/b2/93b2dee2b42d98849c80562a53d8b31e/0128754755v2.jpeg "Das Trace32 Tool von Lauterbach beitet vollständige Debug- und Trace-Unterstützung für den Renesas R-Car Gen 5 X5H für eine beschleunigte Entwicklung von Software-Defined Vehicles. (Bild: Lauterbach / Renesas)")
:quality(80)/p7i.vogel.de/wcms/f7/3c/f73cfd23b4bbbdea6d4c6e4dc9da6f44/0128505598v2.jpeg "Der Einsatz künstlicher Intelligenz wird in der Software-Entwicklung den Release-Takt und die Qualitätssicherung nachhaltig beeinflussen. Was bedeutet das für Software-Tests im Jahr 2026? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/8f/0c/8f0c1365f6635fbdfdd355b102d3d113/0128531933v1.jpeg "Die neu gegründete Agentic AI Foundation soll die Entwicklung offener Tools und Standards für agentenbasierte KI vorantreiben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/22/89/22896600c7f19a5813fa824ee8207dd4/0122524970v2.jpeg "Ein halbautomatischer Webstuhl des französischen Erfinders Basile Bouchon aus dem Jahr 1725, zu sehen im Musée des arts et métiers, Paris. Die Löcher im Papierband gaben vor, welche Nadelöhre gehoben wurden, durch die das Muster der nächsten Reihe im Webstuhl zu laufen hatte. Je nach gewünschten Muster konnten die Lochbänder ausgewechselt werden - das Prinzip programmierbarer Maschinen war geboren. (Bild: Basile Bouchon 1725 loom / Dogcow / CC BY-SA 3.0)")
:quality(80)/p7i.vogel.de/wcms/e7/cf/e7cf5a22f39eddc3235f047c566b747e/0122159010v1.jpeg "Abstraktionsschichten (Symbolbild) (Bild: KI-generiert / DALL-E)")
:quality(80)/p7i.vogel.de/wcms/43/c4/43c4067994de48347a260c6191e88528/0103046501v1.jpeg "(Logo: Rust Foundation)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:fill(fff,0)/p7i.vogel.de/companies/66/1c/661cd4860acd6/emlix-logo-300x210mm-150dpi-rgb.png "emlix-logo-300x210mm-150dpi-rgb (emlix GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/82/1c/821ccb3e80408f83fb2ff538840e30cf/0127137155v2.jpeg "Bild 1: Moderne Fahrzeuge zeichnen sich durch intelligente Apps und Connectivity-Lösungen aus – diese gilt es in jedem Fall zu schützen. (Bild: QNX)")
:quality(80)/p7i.vogel.de/wcms/b6/2c/b62c5ffd79f393ad7584df733a5a7d1b/0121769785v1.jpeg "Entwickler müssen ihre Software täglich oft mehrere hundert Male aktualisieren. Dies sowie fehlende Sichtbarkeit können sich negativ auf die Sicherheit des Codes auswirken. (Bild: immimagery - stock.adobe.com)")