sec-o-simple
sec-o-simple ist ein innovatives Open-Source-Werkzeug zur intuitiven Erstellung von CSAF-Dokumenten. Im Auftrag des BSI entwickelten wir eine Lösung, die Herstellern hilft, komplexe Security Advisories und VEX-Dokumente effizient zu generieren. Durch einen geführten Wizard und eine integrierte Produktdatenbank wird die Hürde für die Nutzung des CSAF-Standards massiv gesenkt, während die volle Konformität zu maschinenlesbaren Sicherheitsmeldungen stets gewährleistet bleibt.
Ziel war die Entwicklung eines benutzerfreundlichen Wizards samt Produktdatenbank als Alternative zum komplexen Secvisogram. Das Tool sollte Hersteller dabei unterstützen, standardisierte CSAF 2.0-Dokumente (JSON) ohne tiefgehende Kenntnisse der Spezifikation fehlerfrei zu erstellen.
Die größte Hürde lag in der Reduzierung der enormen Komplexität des CSAF-Standards auf eine intuitive UI, ohne die Validität der Dokumente zu gefährden. Zudem mussten komplexe Produktbeziehungen (Product Tree) und Schwachstellen-Mappings in einer performanten Datenbank-Architektur abgebildet werden.
Wir realisierten einen template-basierten Wizard, der Felder kontextabhängig vorfiltert. Die integrierte Produktdatenbank ermöglicht die zentrale Pflege von Assets. Automatisierte Validierungen gegen die CSAF-Spezifikation und ein direkter JSON-Export garantieren höchste Datenqualität und Sicherheit.
Die Anwendung basiert auf einem modernen Stack mit React und TailwindCSS für das Frontend sowie einem hochperformanten Go-Backend mit OpenAPI-Generierung. Für die Qualitätssicherung setzten wir auf GitHub Actions (CI/CD) mit einer Testabdeckung von über 95 %. Die Bereitstellung erfolgt containerisiert via Docker-Compose, ergänzt durch eine automatisierte SBOM-Generierung (SPDX/CycloneDX).
RenéEntwicklung
StefanProjektleitung
Vorheriger