SBOM: Was ist das und warum brauchen Organisationen es?
Sie konnten nicht an der Transform 2022 teilnehmen? Sehen Sie sich jetzt alle Summit-Sessions in unserer On-Demand-Bibliothek an! Schau mal hier.
Im Zuge von Cyberangriffen, Hacks und Ransomware wollen und müssen Unternehmen ihre Software-Lieferketten bereinigen.
Zu diesem Zweck greifen sie zunehmend auf ein wertvolles Sichtbarkeitstool zurück: die Software Bill of Materials (SBOM).
Wie die Cybersecurity and Infrastructure Security Agency (CISA) feststellte, sind SBOMs „zu einer Schlüsselkomponente der Softwaresicherheit und des Risikomanagements in der Softwarelieferkette geworden“.
Was ist eine SBOM?Wenn Sie in der Konstruktion oder Fertigung gearbeitet haben, sind Sie bereits mit einer Stückliste oder Stückliste vertraut, die eine Liste aller Teile ist, die zur Herstellung eines bestimmten Produkts benötigt werden, von Rohmaterialien bis hin zu Unterkomponenten und allem, was darin enthalten ist dazwischen, zusammen mit den jeweiligen Mengen, die für ein fertiges Produkt benötigt werden. Eine SBOM ist also eine Software-Nomenklatur. CISA definiert eine SBOM als „verschachteltes Inventar, eine Liste von Bestandteilen“, aus denen Softwarekomponenten bestehen.
Nach Angaben des US-Handelsministeriums müssen SBOMs eine vollständige, formal strukturierte, maschinenlesbare Liste dieser Komponenten bereitstellen, zusammen mit den Bibliotheken und Modulen, die zum Erstellen der Software, den Lieferkettenbeziehungen zwischen ihnen und ihren Datenschwachstellen erforderlich sind. Insbesondere bieten SBOMs einen Einblick in die Zusammensetzung von Software, die von Open-Source-Software und kommerzieller Software von Drittanbietern erstellt wurde.
Bidens Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes war ein Weckruf für föderale Softwareanbieter in Bezug auf SBOMs. Sie müssen sie nun umsetzen und die darin enthaltenen Mindestelemente respektieren.
Und viele Experten drängen Anbieter von proprietärer Software zunehmend dazu, dasselbe zu tun.
Warum sie umsetzen?Beim Schreiben (idealerweise sicherer) Apps prüfen Entwickler den von ihnen geschriebenen Code, um sicherzustellen, dass keine Logik- oder Programmierfehler vorliegen. Heutige Anwendungen sind jedoch oft ein Konglomerat aus proprietärem Code sowie Open-Source- und Drittanbieterkomponenten – eine Anwendung kann beispielsweise eine Mischung aus Dutzenden dieser Komponenten sein.
Aber diese kommerzielle und Open-Source-Software von Drittanbietern ist möglicherweise nur eingeschränkt sichtbar. Und Angreifer nutzen dies zunehmend aus, indem sie auf Schwachstellen abzielen, die Unternehmen in Bibliotheken von Drittanbietern nicht entdecken können, weil sie nicht vollständig sichtbar sind. Dies führte zu Vorfällen wie der Log4j-Schwachstelle und dem Softwarelieferkettenangriff von SolarWinds.
Eine jährliche Umfrage des Synopsis Cybersecurity Research Center unter 2.409 Codebasen ergab, dass 97 % Open-Source-Komponenten enthielten. Es zeigte sich auch, dass 81 % dieser Codebasen mindestens eine bekannte Open-Source-Schwachstelle aufwiesen und 53 % Lizenzkonflikte enthielten.
Mit Organisationen, die für ihre Softwareentwicklungsketten (proprietärer, Open-Source- und Drittanbieter-Code) verantwortlich sind, suchen Sicherheits- und Risikomanager nach Lösungen, die nicht nur dazu beitragen, die Sicherheitsrisiken von Produkten und der Lieferkette zu mindern, sondern auch die Vorlaufzeiten verkürzen . -to-market, automatisieren die Reaktion auf Vorfälle und helfen, Compliance-Anforderungen zu erfüllen, laut Gartners 2022 Innovation Insight for SBOMs-Bericht.
"SBOMs sind ein wesentlicher erster Schritt beim Aufdecken von Schwachstellen und Schwächen in Ihren Produkten und den Geräten, die Sie von Ihrer Softwarelieferkette kaufen", schreiben die Autoren des Berichts Manjunath Bhat, Dale Gardner und Mark Horvath. SBOMs ermöglichen es Unternehmen, die großen Mengen an Code, die sie erstellen, verbrauchen und betreiben, „risikofreier“ zu machen.
SBOMs „verbessern die Sichtbarkeit, Transparenz, Sicherheit und Integrität von proprietärem und Open-Source-Code in Softwarelieferketten“, so der Bericht. Das Unternehmen rät Software-Engineering-Managern, das Tool während des gesamten Lebenszyklus der Softwarebereitstellung zu integrieren.
Verbessert...
Sie konnten nicht an der Transform 2022 teilnehmen? Sehen Sie sich jetzt alle Summit-Sessions in unserer On-Demand-Bibliothek an! Schau mal hier.
Im Zuge von Cyberangriffen, Hacks und Ransomware wollen und müssen Unternehmen ihre Software-Lieferketten bereinigen.
Zu diesem Zweck greifen sie zunehmend auf ein wertvolles Sichtbarkeitstool zurück: die Software Bill of Materials (SBOM).
Wie die Cybersecurity and Infrastructure Security Agency (CISA) feststellte, sind SBOMs „zu einer Schlüsselkomponente der Softwaresicherheit und des Risikomanagements in der Softwarelieferkette geworden“.
Was ist eine SBOM?Wenn Sie in der Konstruktion oder Fertigung gearbeitet haben, sind Sie bereits mit einer Stückliste oder Stückliste vertraut, die eine Liste aller Teile ist, die zur Herstellung eines bestimmten Produkts benötigt werden, von Rohmaterialien bis hin zu Unterkomponenten und allem, was darin enthalten ist dazwischen, zusammen mit den jeweiligen Mengen, die für ein fertiges Produkt benötigt werden. Eine SBOM ist also eine Software-Nomenklatur. CISA definiert eine SBOM als „verschachteltes Inventar, eine Liste von Bestandteilen“, aus denen Softwarekomponenten bestehen.
Nach Angaben des US-Handelsministeriums müssen SBOMs eine vollständige, formal strukturierte, maschinenlesbare Liste dieser Komponenten bereitstellen, zusammen mit den Bibliotheken und Modulen, die zum Erstellen der Software, den Lieferkettenbeziehungen zwischen ihnen und ihren Datenschwachstellen erforderlich sind. Insbesondere bieten SBOMs einen Einblick in die Zusammensetzung von Software, die von Open-Source-Software und kommerzieller Software von Drittanbietern erstellt wurde.
Bidens Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes war ein Weckruf für föderale Softwareanbieter in Bezug auf SBOMs. Sie müssen sie nun umsetzen und die darin enthaltenen Mindestelemente respektieren.
Und viele Experten drängen Anbieter von proprietärer Software zunehmend dazu, dasselbe zu tun.
Warum sie umsetzen?Beim Schreiben (idealerweise sicherer) Apps prüfen Entwickler den von ihnen geschriebenen Code, um sicherzustellen, dass keine Logik- oder Programmierfehler vorliegen. Heutige Anwendungen sind jedoch oft ein Konglomerat aus proprietärem Code sowie Open-Source- und Drittanbieterkomponenten – eine Anwendung kann beispielsweise eine Mischung aus Dutzenden dieser Komponenten sein.
Aber diese kommerzielle und Open-Source-Software von Drittanbietern ist möglicherweise nur eingeschränkt sichtbar. Und Angreifer nutzen dies zunehmend aus, indem sie auf Schwachstellen abzielen, die Unternehmen in Bibliotheken von Drittanbietern nicht entdecken können, weil sie nicht vollständig sichtbar sind. Dies führte zu Vorfällen wie der Log4j-Schwachstelle und dem Softwarelieferkettenangriff von SolarWinds.
Eine jährliche Umfrage des Synopsis Cybersecurity Research Center unter 2.409 Codebasen ergab, dass 97 % Open-Source-Komponenten enthielten. Es zeigte sich auch, dass 81 % dieser Codebasen mindestens eine bekannte Open-Source-Schwachstelle aufwiesen und 53 % Lizenzkonflikte enthielten.
Mit Organisationen, die für ihre Softwareentwicklungsketten (proprietärer, Open-Source- und Drittanbieter-Code) verantwortlich sind, suchen Sicherheits- und Risikomanager nach Lösungen, die nicht nur dazu beitragen, die Sicherheitsrisiken von Produkten und der Lieferkette zu mindern, sondern auch die Vorlaufzeiten verkürzen . -to-market, automatisieren die Reaktion auf Vorfälle und helfen, Compliance-Anforderungen zu erfüllen, laut Gartners 2022 Innovation Insight for SBOMs-Bericht.
"SBOMs sind ein wesentlicher erster Schritt beim Aufdecken von Schwachstellen und Schwächen in Ihren Produkten und den Geräten, die Sie von Ihrer Softwarelieferkette kaufen", schreiben die Autoren des Berichts Manjunath Bhat, Dale Gardner und Mark Horvath. SBOMs ermöglichen es Unternehmen, die großen Mengen an Code, die sie erstellen, verbrauchen und betreiben, „risikofreier“ zu machen.
SBOMs „verbessern die Sichtbarkeit, Transparenz, Sicherheit und Integrität von proprietärem und Open-Source-Code in Softwarelieferketten“, so der Bericht. Das Unternehmen rät Software-Engineering-Managern, das Tool während des gesamten Lebenszyklus der Softwarebereitstellung zu integrieren.
Verbessert...
What's Your Reaction?
