DevGuard

DevGuard ist ein entwicklerzentrierte Open‑Source‑Werkzeug zur Erkennung und Verwaltung von Software‑Schwachstellen. openCode stellt Ihnen openCode DevGuard zur Verfügung. Dieses können Sie als openCode NutzerIn kostenlos verwenden.

Es unterstützt Sie dabei, die Bestandteile Ihrer Software (Quellcode, Abhängigkeiten, Build‑Artefakte und Releases) transparent zu erfassen, zu bewerten und sicherheitsbezogene Anforderungen daran zu knüpfen.

Ziel

DevGuards Ziel ist es, Vulnerability‑Management einfach und modern in Ihre täglichen Entwicklungsabläufe zu integrieren und dabei gängige Security‑Frameworks zu unterstützen. DevGuard wurde „von EntwicklerInnen für EntwicklerInnen“ gebaut, um Sicherheitspraktiken im SDLC (Software Development Lifecycle) zugänglich zu machen - auch ohne tiefes Security‑Spezialwissen.

Dabei gilt es Risiken wie kompromittierte Abhängigkeiten, ungeprüfte Komponenten oder Releases mit bekannten Schwachstellen frühzeitig zu erkennen und kontrolliert zu behandeln.

Kernfunktionen

DevGuard hilft Ihnen insbesondere bei folgenden Aufgaben:

• Erkennung von Schwachstellen (Vulnerability Detection)
• Verwaltung von Schwachstellen (Vulnerability Management)
• Technische Compliance mit gängigen Security‑Frameworks

Auf technischer Ebene bedeutet dies, dass DevGuard Ihnen hilft, folgende Aufgaben auszuführen:

• Secret Scanning (Code auf Geheimnisse/Leaks prüfen)
  • mit SARIF-Report-Generierung
• Dependency Scanning / SCA (Software Composition Analysis)
• Container Images bauen und scannen
  • Automatische SBOM-Generierung im CycloneDX-Format
  • Kryptografische Signierung von Attestierungen mittels Cosign
  • Automatischer Upload (Attestierungen und Container) zur Container-Registry
• SAST (Static Application Security Testing)
• IaC Scanning (Infrastructure‑as‑Code auf Fehlkonfigurationen prüfen)
• Open‑Source‑Lizenzprüfungen

Typische Einsatzszenarien

DevGuard ist für Sie besonders hilfreich, wenn Sie:

• Ihre CI/CD‑Pipeline um Sicherheitsprüfungen ergänzen möchten
• Abhängigkeiten systematisch überwachen und bewerten wollen
• Sicherheits- und Compliance‑Anforderungen (z. B. von Kunden, internen Richtlinien oder Standards) erfüllen müssen
• Releases nachvollziehbar und prüfbar dokumentieren möchten (Audit-Trail)

Ergebnis für Ihre Organisation

Mit DevGuard schaffen Sie eine Grundlage, um:

• Sicherheitsrisiken in Ihrer Software-Lieferkette zu reduzieren
• Releases kontrollierter freizugeben
• schneller auf neue Schwachstellen in verwendeten Komponenten zu reagieren
• gegenüber Kunden und Auditoren die Zusammensetzung und den Sicherheitsstatus Ihrer Software nachvollziehbar zu belegen

Einrichtung von openCode DevGuard

Die folgende Anleitung führt Sie durch die notwendigen Schritte, um einzurichten und zu verwenden.

• openCode DevGuard Auto Setup
• openCode DevGuard Manuelle Einrichtung

Weitere Informationen zu openCode DevGuard finden Sie in der Dokumentation des DevGuard Projekts.