Forschen

SBOMs - die Stückliste für Software

Erinnern Sie sich noch an Log4Shell? Das war eine schwerwiegende Sicherheitslücke in der Java-Library Log4j im Dezember 2021. Schwerwiegend gerade auch wegen der sehr weiten Verbreitung der Library in vielen anderen Sofware-Artefakten und Server-Infrastrukturen.
Die Lücke an sich wurde sehr schnell geschlossen, aber in vielen Unternehmen war gar nicht bekannt, ob und wo die Library verwendet wird. Administratoren mussten teilweise “von Hand” Verzeichnis-Bäume durchwühlen, um sich Klarheit zu verschaffen.


Die Einbindung und Wiederverwendung von Software-Libraries ist schon lange Standard, um das Rad nicht jedes Mal “neu erfinden” zu müssen. Allerdings hat sich dadurch auch die Komplexität der Abhängigkeiten enorm erhöht. Es ist sehr schwer da noch einen Überblick zu behalten.


Eine Lösung für dieses Problem findet sich in SBOMs, der “Software Bill of Materials”.

Diagramm SBOM


In der produzierenden Industrie gibt es schon lange das Äquivalent der “Bill of Materials” (BOM): Alle verwendeten Einzelteile und Materialien eines Produkts werden erfasst und können zurückverfolgt werden. Wenn bspw. ein Zulieferer einen Mangel an einer bestimmten Charge von Airbags mitteilt, kann ein Autohersteller, gezielt die Fahrzeuge zurückrufen, in denen diese Airbags verbaut sind.


Eine SBOM ist dementsprechend eine einheitliche “Stück-Liste”, in der alle Software-Pakete inkl. Versions-Nummern erfasst werden, die in einem Software-Produkt, oder auch einer System-Landschaft verwendet werden. Durch eine standardisierte Syntax können diese Listen sowohl automatisiert erstellt als auch durchsucht werden. Dabei haben sich die beiden Formate CycloneDX und SPDX als Industrie-Standard etabliert.


Für die Erstellung selbst stehen natürlich Anwendungen zur Verfügung, wie z.B. “Syft”, “Trivy” oder ein “SBOM Operator”, speziell für den Einsatz im Kubernetes-Clustern. Diese Anwendungen lassen sich selbstverständlich auch in eine CI/CD-Pipeline integrieren, so dass die SBOM nach jedem Software-Update sofort wieder aktualisiert zur Verfügung stehen.


So haben Sie jederzeit eine zentrale Übersicht über alle verwendeten Software-Artefakte und deren Abhängigkeiten und können im Gefahrenfall sehr schnell einen etwaigen Handlungsbedarf ableiten. Die vorhandenen SBOMs lassen sich darüber hinaus periodisch scannen und mit diversen CVE-Datenbanken abgleichen, das würde jedoch diese kurze Einführung sprengen.


Auch das BSI hat den Wert und die Wichtigkeit von SBOMs erkannt und bereits letzten Sommer eine entsprechende Richtlinie veröffentlicht: https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/TR-03183-2-SBOM-Anforderungen.html


Gerne unterstützen wir Sie beim Thema SBOM mit unserer Erfahrung und entwickeln bei Bedarf eine für Sie passende Lösung!

×
×

Nehmen Sie Kontakt zu uns auf!

Mit * gekennzeichnete Felder sind Pflichtfelder.

Wir haben Ihre Kontaktanfrage erhalten und melden uns kurzfristig bei Ihnen!

×

Ich möchte digital unabhängig werden!

Vielen Dank für Ihre Mitteilung!