Das Nährwertetikett, das Software bisher fehlte

Am 9. Dezember 2021 entdeckte ein Sicherheitsforscher eine Schwachstelle in einer Java-Bibliothek namens Log4j. Innerhalb von 72 Stunden waren hunderte Millionen Systeme gefährdet.

Das Problem war nicht nur die Schwachstelle. Das Problem war die Sichtbarkeit. Die meisten Unternehmen wussten nicht, ob Log4j in ihrer eigenen Software enthalten war.

Dieser Moment machte die Software Bill of Materials (SBOM) zu einer Priorität für Unternehmensvorstände.

Eine SBOM ist ein Inventar aller Komponenten in Ihrer Software. Sie funktioniert wie ein Nährwertetikett für Code. Sie listet Open-Source-Bibliotheken, Pakete von Drittanbietern und interne Bestandteile auf. Sie enthält Versionen und Lizenzen.

Moderne Software ist komplex. Eine Anwendung nutzt oft 500 bis 1.500 Komponenten von Drittanbietern. Diese lassen sich nicht manuell nachverfolgen.

Heute existieren zwei Hauptstandards:

• SPDX: Konzentriert sich auf die Einhaltung von Lizenzen (License Compliance). Gut für Rechtsteams. • CycloneDX: Konzentriert sich auf Sicherheit. Gut für DevSecOps-Teams.

Die Geschwindigkeit Ihrer Reaktion hängt von Ihrer SBOM ab. Während der Log4j-Krise konnten Unternehmen mit SBOMs ihr Risiko innerhalb von Stunden identifizieren. Unternehmen ohne SBOMs verbrachten Wochen mit manuellen Audits.

Jüngste Angriffe wie XZ Utils beweisen, dass diese Lücke immer noch besteht. Angreifer verstecken Backdoors in gängigen Bibliotheken. Ohne Automatisierung werden Sie diese nicht entdecken.

Auch die Vorschriften ändern sich:

• US Executive Order 14028: Bundesanbieter müssen SBOMs bereitstellen. • FDA Guidance: Medizinprodukte erfordern SBOMs. • EU Cyber Resilience Act: Erfordert SBOMs für Software in der EU bis 2027.

So fangen Sie an:

  1. Wählen Sie einen Standard. Nutzen Sie CycloneDX für Sicherheit oder SPDX für Lizenzen.
  2. Automatisieren Sie die Erstellung. Nutzen Sie Tools wie Syft für Images oder Snyk für Pipelines.
  3. Verknüpfen Sie diese mit Datenbanken. Verbinden Sie Ihre Liste mit der NIST NVD oder OSV.
  4. Legen Sie einen Zeitplan fest. Erstellen Sie mit jedem Build eine SBOM.

Versuchen Sie nicht, Ihr gesamtes Portfolio auf einmal zu korrigieren. Beginnen Sie mit einer Anwendung.

Denken Sie daran: Eine SBOM ist ein Diagnosewerkzeug. Sie sagt Ihnen, was Sie haben. Sie löst das Problem nicht für Sie. Wenn eine SBOM 23 Schwachstellen anzeigt, benötigen Sie immer noch einen Plan, um diese zu patchen.

Die besten Unternehmen verfügen nicht nur über die Tools. Sie haben einen Prozess. Sie wissen, wer für eine Abhängigkeit verantwortlich ist, bevor eine Krise ausbricht.

Quelle: https://dev.to/spicykim/the-nutrition-label-that-software-always-lacked-213 Vollständige Details: lucas8.com/what-is-sbom-software-bill-of-materials