IRStone - stock.adobe.com
Softwarelieferketten mit Software Bills of Materials absichern
Eine Software Bill of Materials (SBOM) dokumentiert die Softwarekomponenten eines Unternehmens. SBOM unterstützt damit auch, die Softwarelieferkette richtig abzusichern.
Als die Log4j-Sicherheitslücke weltweit Schlagzeilen machte, mussten Unternehmen aller Branchen dringend reagieren, um betroffene Systeme zu patchen. Die Schwachstelle in dieser weit verbreiteten Open-Source-Bibliothek machte Millionen von Anwendungen angreifbar: von kleinen internen Tools bis hin zu geschäftskritischen Unternehmenssystemen. Viele Organisationen wussten gar nicht, dass sie von der Schwachstelle betroffen waren, weil sie die eingesetzten Softwarekomponenten nicht ausreichend dokumentiert hatten. Diese Intransparenz führte dazu, dass wertvolle Zeit bei der Behebung der Schwachstelle verloren ging und das Risiko weiterer Cyberangriffe stieg.
Schwachstellen wie Log4j verdeutlichen, wie wichtig es ist, die Transparenz der Softwarelieferkette durch die Implementierung einer Softwarestückliste (Software Bill of Materials, SBOM) zu gewährleisten. Eine SBOM schafft Transparenz über die gesamte Softwarelieferkette, ermöglicht die schnelle Identifikation von Schwachstellen und unterstützt Unternehmen, Risiken effektiv zu minimieren. Doch warum wird Transparenz in der Softwareentwicklung immer wichtiger und wie können Unternehmen von SBOMs profitieren?
Was ist eine Software Bill of Materials (SBOM)?
Eine Software Bill of Materials (SBOM) ist ein verschachteltes Inventar oder eine Liste von Softwarekomponenten, einschließlich Bibliotheken, Tools und Frameworks, die zur Entwicklung, Erstellung und Bereitstellung von Software verwendet werden. Diese detaillierte Liste bietet Transparenz in der Softwarelieferkette und ermöglicht es Unternehmen, die mit ihrer Software verbundenen Risiken zu verstehen und zu managen.
SBOMs gibt es schon seit über einem Jahrzehnt, aber jüngste Vorschriften wie der EU Cyber Resilience Act (CRA) unterstreichen ihre wachsende Bedeutung. Während moderne Softwareentwicklungspraktiken Geschwindigkeit und Effizienz in den Vordergrund stellen, kann die Verwendung von Open-Source-Bibliotheken und proprietären Komponenten Schwachstellen mit sich bringen.
Laut dem GitLab DevSecOps-Bericht 2024 nutzen 53 Prozent der Befragten aus Deutschland Open-Source-Bibliotheken, aber nur 22 Prozent davon verwenden SBOMs, um alle Softwarekomponenten systematisch zu erfassen. Hier besteht also Handlungsbedarf.
Die Identifikation und Behebung von Softwaresicherheitslücken verursacht erhebliche Kosten und birgt Risiken für die Reputation eines Unternehmens. SBOMs schaffen Transparenz über Abhängigkeiten und unterstützen dabei, Schwachstellen sowie nicht konforme Lizenzen frühzeitig zu erkennen – und zwar gemäß internen und zukünftigen externen Richtlinien.
Der Weg zur Standardisierung mit SBOM
Um das Potenzial einer Software Bill of Materials voll auszuschöpfen, kommt der Standardisierung von SBOMs eine zentrale Rolle zu. Standards wie OWASP, CycloneDX und SPDX ermöglichen eine einheitliche Datenstrukturierung, erleichtern die Erstellung von Richtlinien auf der Grundlage neuer Schwachstellen und fördern den Einsatz von Automatisierung durch Künstliche Intelligenz (KI). Große Organisationen mit komplexen Lieferketten und Open-Source-Bibliotheken profitieren von standardisierten SBOMs, da sie Interoperabilität und langfristige Kompatibilität gewährleisten.
Eine fehlende Standardisierung kann zu Verzögerungen führen und ein effektives Schwachstellenmanagement behindern, insbesondere wenn neue Komponenten in bestehende Software integriert werden. In einer immer komplexeren digitalen Landschaft ist die rechtzeitige Identifizierung und Behebung von Schwachstellen von entscheidender Bedeutung, um Sicherheitslücken zu erkennen und zu schließen und erhebliche Schäden zu verhindern. Initiativen wie der EU Cyber Resilience Act zur Stärkung der Widerstandsfähigkeit gegenüber Cyberangriffen unterstreichen diese Notwendigkeit.
Automation und KI: Effizienzsteigerung in der SBOM-Generierung
Organisationen mit großen digitalen Infrastrukturen sollten sich nicht auf ohnehin überlastete DevSecOps-Teams verlassen, um manuell eine gültige SBOM zu erstellen, insbesondere da manuelle SBOMs schnell veraltet sind. Eine automatisierte CI/CD-SBOM-Pipeline aktualisiert die Liste aller Softwarekomponenten konsistent und hält sie während des gesamten Entwicklungszyklus verfügbar. Sie müssen der automatisierten SBOM-Erstellung und -Wartung Priorität einräumen, um eine sichere und konforme digitale Infrastruktur aufrechtzuerhalten. Anstatt sich auf manuelle Prozesse zu verlassen, die zeitaufwendig und fehleranfällig sind, sollten Organisationen eine CI/CD-Pipeline implementieren, die SBOMs automatisch mit den neuesten Komponenteninformationen aktualisiert. Dieser proaktive Ansatz reduziert die Belastung der DevSecOps-Teams und stellt sicher, dass die SBOMs korrekt und aktuell bleiben.
Um die SBOM-Analyse zu verbessern, sollten Unternehmen die Software Composition Analysis (SCA) nutzen, um Abhängigkeiten zu identifizieren und zu bewerten. Durch die Integration von SCA in die Entwicklungspipeline können Sicherheitsteams Schwachstellen proaktiv identifizieren und beheben, bevor sie in der Produktion eingesetzt werden.
„SBOMs schaffen Transparenz über Abhängigkeiten und unterstützen dabei, Schwachstellen sowie nicht konforme Lizenzen frühzeitig zu erkennen – und zwar gemäß internen und zukünftigen externen Richtlinien.“
André Braun, GitLab
Darüber hinaus können KI-gestützte Tools die Erstellung und Analyse von SBOMs automatisieren, wertvolle Erkenntnisse liefern und die Behebung von Schwachstellen beschleunigen. Durch den Einsatz von KI können Unternehmen ihre DevSecOps-Prozesse optimieren, die Effizienz steigern und aufkommenden Sicherheitsbedrohungen und regulatorischen Anforderungen immer einen Schritt voraus sein.
SBOMs: Der Schlüssel zur Sicherung der Lieferkette
Um die Sicherheit der Softwarelieferkette zu optimieren und gesetzliche Anforderungen wie die EU-Verordnung über die Bewertung der Sicherheit von Softwareprodukten zu erfüllen, sollten Unternehmen die Einführung von SBOMs priorisieren, um Softwarekomponenten, ihre Herkunft und potenzielle Schwachstellen zu verfolgen. Durch den Einsatz von SBOMs können Unternehmen:
- Die Transparenz erhöhen: Sie erhalten tiefe Einblicke in die Softwarelieferkette, einschließlich der Abhängigkeiten zwischen den Komponenten und potenzieller Sicherheitsrisiken.
- Die Reaktion auf Schwachstellen beschleunigen: Schwachstellen in Komponenten können schnell identifiziert und behoben werden, wodurch das Risiko einer Ausnutzung verringert wird.
- Compliance verbessern: Behördliche Anforderungen wie der EU Cyber Resilience Act lassen sich durch die Erstellung und Pflege genauer SBOMs optimaler erfüllen.
- DevSecOps-Prozesse optimieren: Die automatische SBOM-Erstellung sowie die Integration in eine CI/CD-Pipeline reduziert manuelle Prozesse und steigert die Effizienz.
Durch diese Schritte können Organisationen ihre Softwarelieferkette schützen, Risiken mindern und die Einhaltung sich weiterentwickelnder Vorschriften sicherstellen.
Über den Autor:
Seit 2020 ist André M. Braun Director bei GitLab und verantwortlich für das Geschäft in Deutschland, Österreich und der Schweiz. Zuvor war er in seiner mehr als 30-jährigen IT-Karriere in verschiedenen Management- und Landesleiterpositionen bei Herstellern wie Acer, EMCund Dell. Bevor er zu GitLab kam, baute und leitete er das Hybrid Cloud Geschäft für Netapp auf dem DACH-Markt. Er ist Referent auf verschiedenen IT-Veranstaltungen wie der IDC DevOps Conference und anderen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
