Versio.io

IT-Schutz durch Versionskontrolle

Identifizierung von Produktversionen zur Bewertung des Release- und Patch-Status und zur Erkennung veröffentlichter IT-Schwachstellen

Kurz gesagtDemo anfordernKostenlos testen
 
In diesem Blogbeitrag zeigen wir zwei mögliche Varianten zur Ermittlung von Softwareproduktversionen auf Hosts in der IT-Landschaft. Diese Varianten sind ein wichtiger Bestandteil der Cybersicherheitsbewertung, insbesondere zur Beurteilung des Produktlebenszyklus (Release- und Patch-Strategie) und zur Identifizierung von IT-Schwachstellen.
 

Variante 1: Installierte Software

Variante 1: Installierte Software
X

Variante 1: Installierte Software

Die einfachste und naheliegendste Variante ist, den Paketmanager (Unix, Linux, macOS) oder die Software-Inventarisierung (Windows) der Betriebssysteme zu befragen, um herauszufinden, welche Produkte auf dem Host installiert sind.

Die folgende Abbildung zeigt ein Beispiel dafür, wie Versio.io die Daten in der Plattform verfügbar macht. Für jedes installierte Produkt gibt es Informationen zum Hersteller, zum Produktnamen, zur verwendeten Version und zu weiteren Metadaten.

 

Variante 2: Ausgeführte Prozesse des Betriebssystems

Variante 2: Ausgeführte Prozesse des Betriebssystems
X

Variante 2: Ausgeführte Prozesse des Betriebssystems

Eine komplexere Variante besteht darin, alle laufenden Prozesse eines Betriebssystems kontinuierlich zu erkennen und anschließend deren Version abzufragen. Unter Windows lassen sich Hersteller, Produkt und Version ganz einfach über die in Windows verfügbaren Prozessinformationen abfragen. In Linux-basierten Betriebssystemen gibt es keinen Standard, sodass die Versionsermittlung etwas schwieriger ist, da eine Vielzahl von Ermittlungsverfahren erforderlich ist. Hier sind einige Möglichkeiten zur Erfassung von Versionsinformationen und ein Beispiel dafür, wie ein Prozess einschließlich Versionserkennung in Versio.io abgebildet wird:

  • Befehlszeile: java --version
  • Umgebungsvariable: JAVA_VERSION=21.0.5
  • Zeile in einer Info- oder Konfigurationsdatei: version: 21.0.5
  • Verzeichnisname: /opt/openjdk21.0.5/bin/java

 

Vergleich der Varianten

Beide Varianten haben Vor- und Nachteile, die in der folgenden Tabelle noch einmal aufgeführt sind:
 
Installierte Softwareprodukte Ausgeführte Betriebssystemprozesse
Qualitative Bewertung
  • Durch Abfrage des Paketmanagers oder der Software-Inventarisierung können alle installierten Softwareprodukte einschließlich der Version ermittelt werden.
  • Die Versionsangabe entspricht der Bezeichnung des Herstellers.
  • Das Softwareprodukt und die Version können für alle ausgeführten Betriebssystemprozesse unabhängig vom Bereitstellungstyp (Installation oder manuell entpackte Anwendung/Binärdatei) ermittelt werden (siehe Beschreibung von Variante 2).
  • Die Produkt- und Versionsfindung umfasst auch Komponenten von Drittanbietern (z. B. Frameworks oder Bibliotheken), sofern die technischen Anforderungen dies zulassen (z. B. Java- oder Node.js-Anwendungen).
Versio.io-Importer Auf dem Host installierte Software (agentenbasiert und agentenlos) Host-Prozess (agentenbasiert)
Aufwand/Kosten niedrig hoch
Tabelle: Vergleich der Varianten zur Ermittlung von Softwareversionen
 

Empfehlung

Die beiden dargestellten Varianten zur Ermittlung von Softwareversionen können je nach Kundenanforderung einzeln oder kombiniert verwendet werden. Für die verschiedenen Verantwortungsbereiche in der IT gilt generell folgende Empfehlung:
  • Desktop-/Endgeräteverwaltung = Installierte Software
  • Serververwaltung = Installierte Software und/oder Betriebssystemprozesse
Wir empfehlen unseren Kunden generell, mit der Variante der installierten Softwareprodukte zu beginnen. Mit geringem Aufwand und geringen Kosten lässt sich der Großteil der Softwareversionen ermitteln und mit dem Release- und Patch-Status sowie der Bewertung der IT-Schwachstellen ein hohes Maß an Cybersicherheit erreichen.
Für 100 % Transparenz und geschäfts- und IT-kritische Host-Infrastrukturen, wie z. B. Kern- oder Online-Anwendungen, empfehlen wir, die Versionserkennung auf der Grundlage der ausgeführten Betriebssystemprozesse zu erweitern.
 

Bewertung der Cybersicherheit von Outlook

Die Versionserkennung ist die Voraussetzung für die Bewertung des Produktlebenszyklus und das Erkennen bestehender IT-Schwachstellen. Die Bewertung und Erkennung werden in Versio.io vollautomatisch unterstützt.
Die folgenden Strategien stehen zur Verfügung, um den Lebenszyklus anhand der Produktversionen zu bewerten:
  • Ist es eine stabile Version?
  • Wird die neueste Version verwendet?
  • Wird die neueste Version des Releases verwendet?
  • Wird eine Langzeit-Support-Version (LTS) verwendet?
  • Wird die neueste Version mit Langzeit-Support verwendet?
  • Ist für die eingesetzte Version noch Kundendienst (Support) vom Hersteller verfügbar?
  • Wird die eingesetzte Version noch vom Hersteller gewartet?
Das Ergebnis ist eine Cybersicherheitsbewertung für jede erkannte Produktversion mit entsprechenden detaillierten Informationen und Verweisen auf die Informationsquellen. Versio.io gibt außerdem eine Empfehlung, welche Produktversion aktualisiert/aufgerüstet werden sollte, um den Konformitätsstatus hinsichtlich der Cybersicherheit zu erreichen. Die folgende Abbildung zeigt eine solche Bewertung der Softwareversion für das Produkt Acrobat Reader:
X
Abbildung: Produkt- und Versionsermittlung anhand der auf dem Betriebssystem ausgeführten Software
 

Autoren | 17. März 2025


Fabian Klose
Fabian Klose
Head of Software Development
P:  +49-30-221986-51
LinkedIn
Contact person
Matthias Scholze
Chief Technology Officer
P:  +49-30-221986-51
LinkedIn

 

We use cookies to ensure that we give you the best experience on our website. Read privacy policies for more information.