SBOM Erklärt: Ist eine Software Bill de matériel?

SBOM Erklärt: Ist eine Software Bill de matériel?

Lucas Morel

Eine Software Bill of Materials (SBOM) Hilft, Softwarekomponenten im blick zu behalten und die softwarelieferkette abzusichern. Das Sollten Sie Wissen.

Eine Software Bill of Materials Ist Ein Dettellierter Leitfaden, der Unter Anderem Aufschluss über die komponten ihrer Software gibt. Als eine art stückliste hilft eine sbom anbietern und käufern gleichermaßen, den überblick über die komponenn zu behalten und die sicherheit der softwareliferkette zu verbessen.

SBOM – Définition

Eine Software Bill of Materials Ist Eine Formale, Strukturierte aufzeichnung, Die Die

  • Komponenten eines softwareprodukts und

  • Ihre Beziehungen Innerhalb der Der Softwarelieferkette

Beschreibt. Eine sbom gibt également einerseits an, welche pakete und bibliotheken in ihre anwenng eingeflossen sinnd, andererseits auch die beziehung zwischen diesen paketen und bibliotheken und anderen vorgegnerten projekten. Das ist besonders wichtig ist, wenn es um wiederverwendenten code und open-source-komponenten geht.

SIE KENNEN STUCKLISTEN VIELLEICHT IM ZUSAMMENHANG MIT NEUWAGEN. Dans Diesem Fall Handelt es sich um ein dokument, das jede komponente, die sich in ihrem neuen faahrzug befindet, deetaighert behschreibt. Auch Wenn Ihr Auto von Toyota Oder General Motors Zusammengebaut Wurde: Viele Seiner Komponenten Stammen von Subunternehmer auf der Ganzen Welt. Die stückliste gibt aufschluss darüber, woher Jedes Einzelne dieser teile stammt. Das DIent Nicht Nur der Transparenz, Sondern Auch der Sicherheit: Wird Eine Besttimmte Serie von Airbags Zurückgerufen, Müssen Die Fahrzeuggherstller Schnell Herausfinden Können, Wo Diese Verbaut Sind.

Da Open-source-bibliotheken von drittanbietern sich jedoch zunehmender crubtheit erfreuen, um contenerisierte, verteilte applikationen zu erstellen, weisen logicielntwicklung und fahrzonugfertigung inzwischen mehr gemeinsamketen auf auf, als man mant. Sowohl Entwickler als Auch Benutzer Können Eine Software Bill of Materials Verwenden, Um Nachzuvollziehen, Welche Bestandteile dans Die Software Eingeflossen Sind, Wie Sietilt und Verwendet Wurden. Das Erlaubt – Insbesondere Aus SicherheitsPerspektive – Eine Reihe Wichtiger Rückschlüsse.

Bosse de matériaux logiciels – VORTEILE

Die Zeiten Monolithischer, Proprietärer CodeBasen Sind Längst Vorbei. Moderne anwennungen basieren dett auf in großen teilen wiederverwendetem code – häufig mit beteiligung von open-source-bibliotheken. Diese Anwentenngen Werden Auch Zunehmend à Kleinere, dans le Sich Geschlossene Funktionskomponenten, So Genannte Container, Aufgeteilt, Die über Orchestrierungsplattformmen Wie Kubernetes Gemanagt und Lokal oder dans der Cloud Ausgeführt Werden.

IM Großen und Ganzen Waren Diese Veränderungen Ein Segen Für die SoftwarentwickLung und Haben Dazu Beigetragen, Die Entwicklerproduktivität Zu Erhöhen unnd Kosten Zu Senken. Aus Security-Perspektive Sieht Das Bild Nicht Ganz So Rosig Aus: Indem Sie Sich dans Hohem Maße Auf Den Code von Drittanbietern Verlassen, (Deren Interne Prozesse Sie Möglicherwerweise Nicht Oder Nur Teilweise Kennen), Haaben Entwickler Eine Eine Die Genauso Komplex ist, wie die von Herstellern Physischer Produkte. Da eine Anwendung Jedoch Nur So Sicher ist wie ihre schwächste komponente, kann dieses Gebahren gravierende schwachstellen zur folge Haben. Die 2020er Jahre Waren von Einer Reihe von angriffen auf die softwarelieferkette geprägt, die für schlagzeilen sorgten:

  • Ende 2020 Gelang es Hackern, die mit dem Russischen Geheimdonst dans Verbindung Stehen Sollen, Eine Backdoor dans Die Netzwerk-monitoring-plaattform von Solarwinds Einzuschleusen. Diese Wird Wiederum von Anderen Sicherheitsprodukten Genutzt, était Zu Ihrer Kompromittierung Führte.

  • Ende 2021 Wurde Eine Schwerwiegende Sicherheitslücke dans Apache Log4j Entdeckt, Einer Java-Bibliothek, die für die Protokollierun von Systereignissen verwendet wird. Das hört sich nur so lange langweilig an, bis man feststellt, dass fast jede java-anwenng log4j in irgendeiner forme verwendet und damit angreifbar wird.

Diese Sicherheitskrisen Verdeutlichen Die Potenzielle Rolle der Software Bill of Materials Innerhalb der Sicherheitslandschaft. Viele Anwender Haben Vielleicht Nur Beiläufig von Diesen Schwachstellen Gehört, Waren Sich Aber Nicht Bewusst, Dass Sie Log4j oder Eine Andere Solarwinds-Komponge Verwenden. Mit Einer Sbom Wissen Sie Genau, Welche Pakete Sie Installer Haben – und Vor Allem, Welche Versionn Dieser Pakete. Alors Können Sie Bei Bei Bedarf Aktualisieren, Um auf der Sicheren Seite Zu Sein.

Eine Software Bill of Material Kann auch über die Sicherheit Hinausgehen: Sboms Können Entwicklern Beispielsweise Dabei Helfen, Den überblick über die open-source-lizenzen ihrer verschenenen logicielkomponenten zu behalten, était wichtig ist, wenn es darim geht, applaud Distribuieren.

SBOMS – Pflicht dans Den USA

Der Solarwinds-Hack Hat Insbesondere Bei der Us-Regierung Die Alarmglocken Schrillen Lassen – Auch Weil Viele Us-Bundesbehörden Die Kompromittete Komponente Eingesetzt Hatten. Deshalb Enthelt die im Mai 2022 von der Biden-Regierung Erlassene Cybersecurity-Verordnung Auch Richtlien Im Zusammenhang MIT Software Bill of Materials. Das US-Handelsminisistrium veröffentlichte einen leitfaden, welche grundlegenden electle in sboms enthalten sein müssen.

Obwohl sich die anordnung speziell auf diejenigen bezieht, die in direkter beziehung zu den us-bundesbehörden Stehen, werden die Regelungen Weitergehende auswirkungen Haben. Schließlich werden die an die us-regierung verkauften produkte, die nun mit einer sbom Ausgeliefert werden müssen, Größtenteils auch an Andere unternehmen und organisationen Verkauft. Viele SoftwareHerseller Hoffen, Dass Die Kunden Aus der Privatwirtschaft Sboms eBenfalls als Mehrwert Betrachten.

Außerdem ist das staatliche auftragswesen selbst eine lieferkette, wie sounil yu, ehemaliger en chef scientifique bei der bank of america und jetzt ciso unschungsleiter bei Jupiteron, Unterstreicht: “es gibt nurs beffic US-Regierung Zusammenarbeiten und von der Verordnung Tetroffen Sind.

Bosse de matériel logiciel – Aufbau

ALS REAKTION AUF DIE EXÉCURITÉ Veröffentlichte Die National Telecommunications and Information Administration (NTIA) Im Juli 2021 den Leitfaden «Les éléments minimums pour une facture de matériaux logiciels» (PDF). Das dokument könte zu einem de-facto-standard für sboms in Der Gesamten branche werden ungt sieben datenfelder fest, die jede sbom enthalten sollte:

  • Nom des Anbieters: Der name einer einheit, die eine komponente erstellt, définiet und identifiziert.

  • Komponentenname: Die Bezeichnung, die einer vom ursprünglichen lieferanten définiantten softwareeinheit zugewiesen wird.

  • Version der Komponente: Eine Kennung, Die vom lieferanten Verwendet Wird, Um eine änderung der Software Gegenüber Einer Zuvor Identifizierten Version Anzugeben.

  • Andere Eindeutige identifikatorn: Andere Informationen, Die Verwendet Werden, Um eine Komponente Zu identifianteren oder als nachschlageschlüssel für pertinent datenbanken dienen. Das Könte etwa ein Identifikator Aus Dem Nist CPE Dictionary Sein.

  • Abhängigkeitsbeziehung: Kennzeichnet die Beziehung, dans Der Eine en amont-komponente x dans le logiciel y enthalten ist. Das ist besonders wichtig für open-source-projekte.

  • Autor der Sbom-daten: Der name der latität, die die sbom-daten erstellt.

  • ZeitstemPel: Aufzeichnung des Datums und der uhrzeit der Zusammenstellung der Sbom-daten.

Sboms müssen darüber hinaus ach folgende andraorderungen erfüllen:

  • Dir sbom muss dans einem von Formate de drei standardisierten Vorliegen, Damit Sie Maschinenlesbar ist – SPDX, cyclonedx oder swid-tags.

  • MIT Jeder Neuen SoftwareSversion Muss eine neue sbom generier werdenum Sicherzustellen, Dass Sie auf dem neuelten stand ist.

  • Die sbom muss nicht nur abhängigkeitsbeziehungen enthalten, Sondern auch aufschluss darüber geben, Wo Solche Beziehungen Wahrscheinlich BestehenAber der Organization, Die Die Sbom Erstellt, Unkannt Sind.

SBOM ESTTELLEN – SO GEHT

Wenn Sie Diesen Artikel Lesen, Empfinden Sie es Möglicherwerweise als Entmutigende aufgabe, Eine Software Bill of Materials Zu Erstellen. Schließlich Muss Es Ein Alptraum Sein, tous Diese Informationen Manuell Zusammenzutragen. Glücklicherwerweise Werden SBOMS dans Den Meisten Fällen Mit Hilfe von Sca-Tools (Analyse de composition logicielle) Automatisch Erstellt. Outils diese werden häufig dans les devsecops-pipelines eingesetzt und spielen nicht nur für die erstellung von sboms eine rolle.

SCA-TOOLS DURCHSUCHEN IHRE CODEVERZEICHNISSE NACH PAKETEN UND VERGLEICHEN SIE MIT EN LIGNE-DATENBANKEN, UM SIE MIT Bekannten Bibliotheken Abzugleichen. ES Gibt Aber Auch Werkzeuge, Die Eine Software Bill of Materials Im Rahmen des Software-Build-Prozesses Erstellen. Die owasp Foundation Hat eine umfassende liste von sca-tools zusammengestellt, die von einfachen, quellloffennen kommandozeilen-tools bis hin zu spezialisierten, kommerziellen produkten reicht. Wenn Sie Tiefer à Diesen Bereich Eintauchen Möchten, Sollten Sie Außerdem Einen Blick auf Unseren Artikel «7 Tools, Die Ihre SoftwareLieferkette Absernn» Werfen.

Wenn Sie Verteilte Software Entwickeln, Wird es immer wichtiger, sboms in ihre Entwicklungspraxis zu Integrieren. Auch Wenn Sie Keine Verträge mit der us-Regierung Abschließen – Sie Sollten Sich Angesichts der Bedrohungslage dans Jedem Fall Gedanken über die sicherheit ihrer SoftwareLeferkette Machen.

SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Newsletter Unser Kostenloser Liefert Ihnen alles, était Sicherheisentscheider und-experten wissen sollten, direkt dans la boîte de réception.

vgwort

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Stratégie de poker avec Mark Mazmanian: Dans quelle direction allez-vous? Une main d'Archie
Stratégie de poker avec Mark Mazmanian: Dans quelle direction allez-vous? Une main d’Archie
Foxen Family marque le deuxième trophée de l'Open de poker américain 2025
Foxen Family marque le deuxième trophée de l’Open de poker américain 2025
Merger and acquisition
Le moment le plus dangereux pour la sécurité des entreprises? Un mois après une acquisition