Anastasiia - stock.adobe.com
Sicherheit und Software: SBOMs sollen vereinheitlicht werden
Softwarestücklisten (SBOMs) fördern die Sicherheit und werden mit dem Cyber Resilience Act für betroffene Produkte vorgeschrieben. Jetzt wird eine Vereinheitlichung angestrebt.
Für viele Unternehmen war die Log4j-Schwachstelle im Jahr 2021 ein recht unangenehmer Weckruf in Sachen Transparenz der Softwarelieferkette. Oftmals konnten IT-Teams nicht aus dem Stegreif beantworten, ob man selbst betroffen sei. Kaum jemand wusste, ob die entsprechende Bibliothek überhaupt, und wenn ja, wo in der eigenen Organisation zum Einsatz kam.
Software ist ja in der Regel kein monolithisches Produkt, sondern beinhaltet viele Komponenten und Abhängigkeiten. Beispielsweise gemeinsam genutzte Objekte oder Bibliotheken, eingebundene Dienste oder auch ausgeliehenen Code.
Eine Softwarestückliste oder Materialliste (Software Bill for Materials, SBOM) listet alle in einer Anwendung enthaltenen Komponenten auf. Eine SBOM bringt eine Reihe von Vorteilen mit sich. Aus Sicherheitsperspektive liefert sie einen Einblick in die verwendete Software. So können die Risiken eingeschätzt werden, die sich aus Schwachstellen in den verwendeten Komponenten ergeben. Aber auch Entwickler können von einer solchen Stückliste profitieren. Anhand einer SBOM lässt sich festmachen, ob alle relevanten Open-Source-Lizenzen auch eingehalten werden.
Der Cyber Resilience Act (CRA) sieht für den EU-Markt verpflichtend vor, dass SBOMs eine Grundlage für die Behandlung von Schwachstellen in Produkten mit digitalen Elementen sein müssen.
Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat sich nun mit insgesamt 18 internationalen Partnerbehörden auf ein gemeinsames Zielbild zur Vereinheitlichung von SBOMs geeinigt. Von deutscher Seite war das Bundesamt für Sicherheit in der Informationstechnik (BSI) beteiligt. Aus diesen Bemühungen ist das Dokument A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity entstanden.
Hier wird unter anderem beschrieben, wofür SBOMs eingesetzt werden und welche Vorteile sie für bestimmte Zielgruppen haben kann. In einem nächsten Schritt sei geplant die internationalen Vorgaben zu harmonisieren. Dies soll zu einer einheitlichen Umsetzung von SBOMs beitragen. Die damit geschaffene Transparenz soll helfen, Risiken frühzeitig zu erkennen und angehen können.
Das BSI hat bereits vor einiger Zeit eine technische Richtlinie zum Thema SBOM und dem Umgang damit veröffentlicht. In der technischen Richtlinie TR-03183 finden sich unter anderem die formellen und fachlichen Vorgaben zu SBOM. Darüber hinaus liefert die technische Richtlinie Informationen wie bei eingehenden Schwachstellenmeldungen zu verfahren ist. Die technische Richtlinie soll kontinuierlich erweitert und aktualisiert werden.
