TL;DR Wir haben uns mit TuxCare zusammengetan, damit Sie Schwachstellen in Legacy-Abhängigkeiten sofort beheben können, ohne Neuentwicklungen oder riskante Upgrades. Bleiben Sie sicher, compliant und entwickeln Sie weiter ohne Kompromisse. Lesen Sie weiter für die vollständige Einführung oder sehen Sie sich unsere Dokumentation an, um tiefer einzusteigen.
Wenn Engineering-Teams wachsen, wird die Verwaltung von Schwachstellen in Drittanbieter-Bibliotheken zu einem der größten Hindernisse für eine sichere und schnelle Bereitstellung. Wenn beliebte Open-Source-Pakete das End-of-Life (EOL) erreichen, geraten Sicherheits- und Entwicklungsteams oft in Konflikt: Sicherheitsteams drängen auf sofortige Upgrades zur Behebung von CVEs, während Entwickelnde mit Breaking Changes konfrontiert sind, die die Bereitstellung wochen- oder monatelang verzögern können.
Das Upgrade von Kernabhängigkeiten ist nicht nur eine Frage von Versionssprüngen; es kann tiefgreifende Refactorings, Anwendungsneuentwicklungen und umfangreiche erneute Tests bedeuten. Für viele Organisationen führt dieser Kompromiss zwischen Sicherheit und Geschwindigkeit zu einem operativen Stillstand.
Die Stärke der Partnerschaft zwischen Aikido und TuxCare
Um dies zu lösen, haben sich Aikido und TuxCare zusammengeschlossen, um Extended Lifecycle Support (ELS) direkt über Aikidos Autofix anzubieten. Diese Partnerschaft kombiniert Aikidos Workflows für automatische Behebung mit TuxCares Expertise in der Bereitstellung gehärteter, kontinuierlich gepatchter Pakete für EOL-Bibliotheken.
TuxCare hat bereits über 5.000 CVEs in Open-Source-Software behoben, was sie zu einem vertrauenswürdigen Partner für die Sicherheit nach EOL macht. Durch die direkte Integration von ELS-Paketen in Autofix hilft Aikido Teams, Legacy-Abhängigkeiten zu sichern und ohne große Versionsänderungen oder störende Neuentwicklungen voranzukommen.
.png)
So funktioniert's
Wenn Aikido Ihre Anwendung scannt, identifiziert es veraltete Abhängigkeiten und deckt bekannte Schwachstellen auf. Anstatt ein Upgrade auf die neueste (und potenziell inkompatible) Hauptversion zu verlangen, schlägt Aikido nun ein sicheres ELS-Paket vor, das von TuxCare gepflegt wird.
Diese ELS-Pakete sind Drop-in-Ersatzlösungen. Teams, die beispielsweise die nicht mehr gewartete v1 von SnakeYAML verwenden, können zu 1.33.tuxcare.1 wechseln, um kritische CVEs zu patchen, ohne auf 2.x migrieren zu müssen. Dasselbe Prinzip gilt für andere weit verbreitete Pakete wie log4j 1.x, das seit 2015 nicht mehr gewartet wird, aber in Unternehmens-Codebasen weiterhin verbreitet ist.
Aikido Autofix generiert einen merge-bereiten Pull Request, der Ihre Abhängigkeit auf die ELS-Version aktualisiert und alle erforderlichen Repository-Konfigurationen enthält. Teams können Sicherheitsprobleme sofort beheben, ohne Instabilität zu verursachen oder die Feature-Entwicklung zu verzögern.
.png)
Reibung zwischen Security- und Dev-Teams reduzieren
Die Lücke zwischen Security und Entwicklung zu schließen, erfordert Lösungen, die beide Prioritäten berücksichtigen: eine starke Security-Haltung und Continuous Delivery. Der integrierte Ansatz von Aikido und TuxCare ermöglicht es Teams, Folgendes zu tun:
- Disruptive Upgrades vermeiden: Abhängigkeiten sichern ohne größere Refactorings oder Breaking Changes.
- CVE-Behebung beschleunigen: Schwachstellen in Tagen statt in Wochen oder Monaten patchen.
- Compliance aufrechterhalten: EOL-Paketrisiken adressieren, um regulatorische Anforderungen zu erfüllen und Audits zu bestehen.
- Engineering-Aufwand reduzieren: Teamkapazitäten freisetzen, um sich auf Produktverbesserungen zu konzentrieren, statt Abhängigkeits-Updates zu beheben.
Anwendungsbeispiel: Java-Projekte mit ELS absichern
In einem typischen Java-Projekt kann die Aktualisierung einer kritischen Abhängigkeit wie SnakeYAML oder log4j auf eine neue Hauptversion Wochen an Entwicklungszeit, umfangreiche Tests und riskante Produktions-Deployments in Anspruch nehmen.
Mit ELS können Teams eine gehärtete Version (zum Beispiel log4j 1.2.17.tuxcare.1) übernehmen, die bekannte CVEs patcht, und das alles ohne Änderung der Anwendungslogik. Das bedeutet, Sicherheitsprobleme werden schneller behoben, der Engineering-Aufwand wird minimiert und Releases bleiben im Zeitplan.
Die Zukunft von sicherem Legacy-Code
Bei Aikido glauben wir, dass Entwickelnde nicht zwischen Geschwindigkeit und Sicherheit wählen müssen sollten. Unsere Partnerschaft mit TuxCare ist ein großer Schritt nach vorne, um Post-EOL-Sicherheit praktikabel und skalierbar zu machen, damit Sie sich auf die Entwicklung konzentrieren können.
Das ist erst der Anfang. Die ELS-Unterstützung ist derzeit für Java verfügbar, wobei weitere Sprachen wie JavaScript, Python, .NET, PHP und Ruby bald folgen werden.
Erfahren Sie mehr darüber, wie Aikido und TuxCare Ihnen helfen können, Ihren Legacy-Code zu sichern, ohne Ihre Roadmap zu verlangsamen. Hier starten →
Sichern Sie Ihre Software jetzt.
.avif)
