Effizientes und verlässliches Issue Tracking für Embedded Linux Systeme

Unsere Kunden profitieren von dem Knowhow und den Empfehlungen der emlix Security- und Linux-Experten und von Synergie-Effekten. Der Bedarf einer umfassenden Cyber-Security-Lösung für Embedded Systemen steigt. Dies ist getriggert durch die Verschärfung des IT-Sicherheitsgesetzes sowie normative Vorgaben in nahezu allen Industriebranchen, etwa der Novelle der Medizingeräte-Richtlinie.
Unternehmen sind verpflichtet, ihre initial abgesicherten Software-Systeme kontinuierlich auf Software Security Issues zu überwachen. Dieses muss in einem nachvollziehbaren, dokumentierten Prozess erfolgen.

emlix bietet folgende Leistungen für ein nachweisgerechtes CVE Security Monitoring an:

• Automatisiertes CVE Tracking verschiedener Quellen
• Mehrstufige Relevanzanalyse durch Security-Experten
• Reduktion auf produktrelevante CVEs
• Maintenance Monitoring und Updates (optional)
• CVE Security Report als Nachweisdokument
• Schneller Einstieg auf Basis einer SBOM
• Klären der Relevanzkriterien im Scoping
• Hohe Kosteneffizienz durch Synergie-Effekte
• Solide Planungsbasis entlang des gesamten Software-Lifecycles

emlix verfügt über umfassende Erfahrung im Security Engineering für Linux-basierte Embedded Devices, wie beispielsweise IoT-Edge-Geräte, Geräte aus den Bereichen Medizin- und Automatisierungstechnik sowie Embedded Systeme im Energy- und Automotive-Sektor. 
Mit dem emlix CVE Security Monitoring sowie dem ergänzenden Maintenance Monitoring lassen sich normative Anforderungen an die Lifecycle Maintenance über den gesamten Software-Lebenszyklus prozesssicher abdecken. So wird beispielsweise die Forderung der Medizingeräte-Richtlinie nach einer umfassenden Market Surveillance zuverlässig erfüllt.
Unser CVE Security Monitoring startet mit der SBOM Ihres Linux-basierten Software-Systems. In einem Scoping klären wir mit Ihnen den Einsatzkontext und kritische Requirements an die Software. Nach einem Set-up erhalten Sie in einer vereinbarten Frequenz (monatlich, quartalsweise, halbjährlich) einen CVE Security Report verbunden mit unseren Empfehlungen für das weitere Vorgehen.
Bei Bedarf umfasst unser Portfolio zudem Development Support und Update-ServicesMaintenance-Leistungen (Patch Management, Updates, Upgrades) im Rahmen eines wirtschaftlichen Embedded Linux Lifecycle Managements.

Die Verpflichtung der Unternehmen gemäß ISO/IEC 27001, ihre Software-Systeme kontinuierlich auf Software Security Issues zu überwachen, fordert im Ernstfall ein hohes Maß an Reaktionsschnelligkeit. CVEs müssen bewertet und verfügbare Fixes / Patches abhängig von Kontext und Kritikalität implementiert werden. Oftmals fehlt es in Unternehmen dann an Zeit und Ressourcen.
Darüber hinaus kann es vorkommen, dass ein relevantes, kritisches Security Issue festgestellt wird, für das es aus der Community zum Zeitpunkt noch keinen Fix gibt. Bei Bedarf unterstützt emlix seine Kunden in solchen Fällen bei der fortlaufenden Suche nach Fixes sowie gegebenenfalls auch durch Entwicklungsleistungen, um einen Issue direkt zu beheben.