Blogartikel_kotlin-csaf_Christian_Banse

Sicherheitslücken in Software schneller entdecken und beheben mit CSAF

Das Common Security Advisory Framework (CSAF) ist ein maschinenlesbares Format für Sicherheitshinweise und spielt eine entscheidende Rolle bei der Umsetzung der Sicherheitsanforderungen aus dem Cyber Resilience Act (CRA): Sicherheitslücken lassen sich schneller entdecken und beheben, indem Sicherheitsinformationen automatisiert erstellt und ausgetauscht werden. Das Fraunhofer AISEC hat jetzt die Software-Bibliothek »kotlin-csaf« veröffentlicht, die den CSAF-Standard in der Programmiersprache Kotlin umsetzt.

Was ist »kotlin-csaf«?

»kotlin-csaf« ist eine initiale Version einer Software-Bibliothek, die es Entwicklern ermöglicht, Sicherheitsinformationen im einheitlichen CSAF-Format zu verarbeiten. Dies erleichtert die Verwaltung und Validierung von Sicherheitswarnungen und -empfehlungen, was letztlich dazu beiträgt, Software sicherer zu machen. Der CSAF-Standard spielt eine entscheidende Rolle für die Cybersicherheit, da er Informationen zum Finden und Schließen von Sicherheitslücken automatisiert bereitstellt.

Integration in Dependency-Track: Automatisierte Sicherheitsüberprüfungen, schnellere Reaktionen und effizientere Compliance

Im nächsten Schritt will das Fraunhofer AISEC »kotlin-csaf« in das Tool Dependency-Track integrieren. Dependency-Track ist ein Werkzeug, das Programme und deren Abhängigkeiten auf Sicherheitslücken überprüft. Durch die zukünftige Integration von »kotlin-csaf« in Dependency-Track werden Unternehmen in der Lage sein

  • automatisierte Sicherheitsüberprüfungen durchzuführen, indem sie Sicherheitswarnungen und -empfehlungen in einem standardisierten Format verarbeiten,
  • schnellere Reaktionen auf Sicherheitsvorfälle zu gewährleisten, da Sicherheitsinformationen automatisch erstellt und konsumiert werden können,
  • effizientere Compliance zu erzielen, da Dependency-Track dann besser in der Lage sein wird, die Anforderungen des Cyber Resilience Act und der NIS-2-Richtlinie zu erfüllen.

Machen Sie mit: Ihr Feedback ist entscheidend

»kotlin-csaf« steht noch am Anfang seiner Entwicklung. Das Fraunhofer AISEC arbeitet kontinuierlich daran, die Bibliothek zu verbessern und weiter auszubauen. In diesem Zusammenhang suchen wir nach Partnern, die an einer Zusammenarbeit interessiert sind. Ihre Beiträge und Ihr Feedback sind entscheidend, um »kotlin-csaf« zu einem noch stärkeren Werkzeug für die Cybersicherheit zu machen.

»kotlin-csaf« Library auf GitHub: https://github.com/csaf-sbom/kotlin-csaf 

Autor
Banse_Christian_Fraunhofer_AISEC
Christian Banse

Christian Banse besitzt einen Master of Science in Wirtschaftsinformatik mit Schwerpunkt IT-Security der Universität Regensburg. Er ist seit 2011 Mitarbeiter am Fraunhofer AISEC. Er war verantwortlich für den Aufbau eines neuartigen Netzwerk- und Cloud-Sicherheitslabors und übernimmt derzeit dessen Leitung. Im Rahmen dieses Labors werden Forschungsfragen rund um Netzwerke und IP-basierter Kommunikation untersucht. Besonderer Fokus liegt hierbei in der Erforschung von Methoden der automatisierten und kontinuierlichen Zertifizierung der IT-Sicherheit von Cloud- und Container-Anwendungen. Seit Mitte 2018 ist Christian Banse zudem Abteilungsleiter des Bereichs Service und Application Security.

Most Popular

Keinen Beitrag verpassen?

Bitte geben Sie Ihre E-Mail-Adresse ein, um keinen Blog-Beitrag zu verpassen.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.

* Pflichtfeld

* Pflichtfeld

Mit dem Ausfüllen des Formulars akzeptieren Sie unsere Datenschutzerklärung.
Twitter Linkedin Youtube Xing

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Artikel

Cybersecurity Risk Management in der Automobilindustrie bereichsübergreifend meistern

Patrick Wagner 27. Januar 2026

Moderne Fahrzeuge sind vernetzte Systeme aus Software, Sensoren und Cloud-Diensten. Da Automobilhersteller ihre Arbeit auf Bereiche wie Entwicklung, Produktion und Backend aufteilen, können Cybersicherheitsrisiken leicht zwischen den Zuständigkeiten verloren gehen. Standards wie ISO/SAE 21434, die ISO/IEC 27000 Familie und die IEC 62443 Reihe liefern zwar wichtige Bausteine, erklären aber nicht, wie Cybersicherheit bereichsübergreifend wirksam aufeinander abgestimmt werden kann. Unsere Forschung am Fraunhofer AISEC zeigt die Folgen: schwer vergleichbare Risikoanalysen, unklare Kommunikation und fragmentierte Schutzstrategien. Die Lösung liegt in einem bereichsübergreifenden Ansatz, der Prozesse, Werkzeuge und Terminologie verbindet. Auf Basis einer strukturierten Analyse zentraler Cybersicherheitsstandards und Interviews mit Experten von sechs Automobilherstellern kontrastiert dieser Artikel die Erwartung der Standards mit der gelebten Praxis – und skizziert konkrete Schritte, um die bestehenden Lücken zu schließen.

Weiterlesen »

Automatisierte Cloud-Zertifizierung mit EMERALD: Architektur, Evidenz und vertrauenswürdige Sicherheit

Christian Banse 30. Oktober 2025

Die Sicherheit von Cloud-Diensten wird angesichts zunehmender Komplexität und regulatorischer Anforderungen zur Herausforderung. Mit herkömmlichen Zertifizierungsverfahren lassen sich diese Anforderungen nur unter hohem finanziellem und zeitlichem Aufwand erfüllen. Das EU-Forschungsprojekt EMERALD verfolgt daher einen neuen Ansatz: Es entwickelt ein Framework für kontinuierliche, automatisierte Sicherheitszertifizierung auf Basis semantisch strukturierter Evidenzen. Dieser Beitrag erläutert die Konzepte, Methoden und Validierungsansätze der EMERALD-Plattform.

Weiterlesen »