Blogartikel_kotlin-csaf_Christian_Banse

Sicherheitslücken in Software schneller entdecken und beheben mit CSAF

Das Common Security Advisory Framework (CSAF) ist ein maschinenlesbares Format für Sicherheitshinweise und spielt eine entscheidende Rolle bei der Umsetzung der Sicherheitsanforderungen aus dem Cyber Resilience Act (CRA): Sicherheitslücken lassen sich schneller entdecken und beheben, indem Sicherheitsinformationen automatisiert erstellt und ausgetauscht werden. Das Fraunhofer AISEC hat jetzt die Software-Bibliothek »kotlin-csaf« veröffentlicht, die den CSAF-Standard in der Programmiersprache Kotlin umsetzt.

Was ist »kotlin-csaf«?

»kotlin-csaf« ist eine initiale Version einer Software-Bibliothek, die es Entwicklern ermöglicht, Sicherheitsinformationen im einheitlichen CSAF-Format zu verarbeiten. Dies erleichtert die Verwaltung und Validierung von Sicherheitswarnungen und -empfehlungen, was letztlich dazu beiträgt, Software sicherer zu machen. Der CSAF-Standard spielt eine entscheidende Rolle für die Cybersicherheit, da er Informationen zum Finden und Schließen von Sicherheitslücken automatisiert bereitstellt.

Integration in Dependency-Track: Automatisierte Sicherheitsüberprüfungen, schnellere Reaktionen und effizientere Compliance

Im nächsten Schritt will das Fraunhofer AISEC »kotlin-csaf« in das Tool Dependency-Track integrieren. Dependency-Track ist ein Werkzeug, das Programme und deren Abhängigkeiten auf Sicherheitslücken überprüft. Durch die zukünftige Integration von »kotlin-csaf« in Dependency-Track werden Unternehmen in der Lage sein

  • automatisierte Sicherheitsüberprüfungen durchzuführen, indem sie Sicherheitswarnungen und -empfehlungen in einem standardisierten Format verarbeiten,
  • schnellere Reaktionen auf Sicherheitsvorfälle zu gewährleisten, da Sicherheitsinformationen automatisch erstellt und konsumiert werden können,
  • effizientere Compliance zu erzielen, da Dependency-Track dann besser in der Lage sein wird, die Anforderungen des Cyber Resilience Act und der NIS-2-Richtlinie zu erfüllen.

Machen Sie mit: Ihr Feedback ist entscheidend

»kotlin-csaf« steht noch am Anfang seiner Entwicklung. Das Fraunhofer AISEC arbeitet kontinuierlich daran, die Bibliothek zu verbessern und weiter auszubauen. In diesem Zusammenhang suchen wir nach Partnern, die an einer Zusammenarbeit interessiert sind. Ihre Beiträge und Ihr Feedback sind entscheidend, um »kotlin-csaf« zu einem noch stärkeren Werkzeug für die Cybersicherheit zu machen.

»kotlin-csaf« Library auf GitHub: https://github.com/csaf-sbom/kotlin-csaf 

Autor
Banse_Christian_Fraunhofer_AISEC
Christian Banse

Christian Banse besitzt einen Master of Science in Wirtschaftsinformatik mit Schwerpunkt IT-Security der Universität Regensburg. Er ist seit 2011 Mitarbeiter am Fraunhofer AISEC. Er war verantwortlich für den Aufbau eines neuartigen Netzwerk- und Cloud-Sicherheitslabors und übernimmt derzeit dessen Leitung. Im Rahmen dieses Labors werden Forschungsfragen rund um Netzwerke und IP-basierter Kommunikation untersucht. Besonderer Fokus liegt hierbei in der Erforschung von Methoden der automatisierten und kontinuierlichen Zertifizierung der IT-Sicherheit von Cloud- und Container-Anwendungen. Seit Mitte 2018 ist Christian Banse zudem Abteilungsleiter des Bereichs Service und Application Security.

Most Popular

Keinen Beitrag verpassen?

Bitte geben Sie Ihre E-Mail-Adresse ein, um keinen Blog-Beitrag zu verpassen.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.

* Pflichtfeld

* Pflichtfeld

Mit dem Ausfüllen des Formulars akzeptieren Sie unsere Datenschutzerklärung.
Twitter Linkedin Youtube Xing

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Artikel

Laboruntersuchung zur Sicherheit der OpenTitan-Silizium-Root-of-Trust

Nisha Jacob Kabakci 3. Juni 2026

Das Fraunhofer AISEC hat in Zusammenarbeit mit Google und lowRISC® die Hardware-Sicherheit des OpenTitan-Chip (OpenTitan-Silicon-Root-of-Trust) untersucht. Ziel war es, die Sicherheit von OpenTitan® unter einem starken Angriffsmodell zu analysieren, bevor der Einsatz in Servern und Chromebooks erfolgt. Die Evaluierung untersuchte die zentralen Sicherheitseigenschaften von OpenTitan und führte zu mehreren Härtungsmaßnahmen sowie Verbesserungen der Sicherheit.

Weiterlesen »

Vom Warnsignal zur Werkbank: das PQC-Update 2026 zeigt, dass die Post-Quanten-Ära begonnen hat

Daniel Loebenberger 8. Mai 2026

Als wir das PQC-Update 2026 eröffneten, stand eine Frage im Raum: Ist Post-Quanten-Kryptografie noch Zukunftsmusik – oder längst Alltag für Behörden, Industrie und Standards? Die Antworten unserer Vortragenden waren überraschend konkret: Niederländische Leitfäden, deutsche Ausweise mit PQC, neue Sicherheitschips, aktualisierte Internet-Standards, Roadmaps einer kritischen Infrastruktur und Werkzeuge, die schon heute Ihre Krypto-Altlasten sichtbar machen. Wer nur wissen will, ob man sich jetzt kümmern muss: Ja. Wer wissen will, wie, liest weiter.

Weiterlesen »

Hardwaresicherheit in einer vernetzen Welt | Über Bedrohungsszenarien, Manipulationsschutz und die Bedeutung von Vertrauensankern

Matthias Hiller 28. April 2026

Wie können wir der Hardware vertrauen, die das Herzstück unserer vernetzten Welt bildet? In diesem Interview mit der Forschungsfabrik Mikroelektronik (FMD) erläutert Dr. Matthias Hiller, Leiter der Abteilung Hardware Security am Fraunhofer AISEC, welche Chancen und Herausforderungen im Design sicherer Hardware bestehen und wie sich Systeme wirksam vor Angriffen und Manipulation schützen lassen. Außerdem beleuchtet er die Bedeutung von Hardwaresicherheit für Europa und zeigt auf, welchen Beitrag das Fraunhofer AISEC im Rahmen der APECS-Pilotlinie zur Absicherung von Chiplets liefert.

Weiterlesen »