Der Wert der Software-Stückliste (SBOM)

Wenn Sie im letzten Jahr einen Moment über die Sicherheit der Lieferkette nachgedacht haben, kennen Sie wahrscheinlich den Begriff „Software Bill of Materials“, abgekürzt SBOM. In ihrer einfachsten Form kann eine SBOM mit der Zutatenliste einer Software verglichen werden; In Wirklichkeit ist es jedoch viel ausgefeilter.

In den heutigen digital orientierten Unternehmen – mit einer hohen Abhängigkeit von Software-Resellern, Open-Source-Tools und White-Label-Anwendungen – kann der Wert einer Software-Stückliste nicht hoch genug eingeschätzt werden.

SBOM definieren: Was ist eine Software-Stückliste (SBOM)?

Eine Software-Stückliste ist eine Auflistung der grundlegenden Komponenten (z. B. Code-Ressourcen), die zum Erstellen eines Produkts verwendet werden. Es bietet maschinenlesbare Informationen und Details, die die Verbindungen zwischen den verschiedenen Softwareelementen in Ihrer Lieferkette beschreiben.

Bei SBOMs geht es im Wesentlichen um die Integrität der digitalen „Materialien“, mit denen man arbeitet, wobei der Schwerpunkt auf Vertrauen und Sicherheit liegt. Sie können identifizieren, aus welchen Komponenten eine Software besteht, woher diese Dateien stammen, wie sie erstellt wurden und ob sie von vertrauenswürdigen Personen sicher signiert wurden.

SBOMs sind ein Tool, mit dem Softwareentwickler und Verbraucher Vertrauen und Glaubwürdigkeit im Softwareentwicklungs- und Vertriebslebenszyklus stärken können.

Gartner schätzt, dass bis 2025 60 % der Unternehmen, die Software für kritische Infrastrukturen entwickeln oder beschaffen, zur Verwendung von SBOMs verpflichtet sein werden, ein deutlicher Anstieg gegenüber weniger als 20 % im Jahr 2022. Lassen Sie uns untersuchen, warum und welchen Wert eine Softwarerechnung genau hat Materialien.

SBOM und Cybersicherheit: Warum die Pflege der Software-Stücklisten von entscheidender Bedeutung ist

Sowohl im öffentlichen als auch im privaten Sektor sind Cyberangriffe mittlerweile allzu alltäglich. Im zweiten Halbjahr 2022 stieg die Zahl der Eingriffe in staatliche Bereiche im Vergleich zum gleichen Zeitraum im Jahr 2021 um 95 %.

Es wird erwartet, dass die globalen wirtschaftlichen Auswirkungen von Cyberangriffen dramatisch ansteigen werden, von 8,44 Billionen US-Dollar im Jahr 2022 auf 23,84 Billionen US-Dollar im Jahr 2027.

Aus diesem Grund drängen Unternehmen, Interessengruppen für Cybersicherheit und sogar Regierungen darauf, dass SBOM ein wichtiger Bestandteil der digitalen Infrastruktur ist – und kein „Nice-to-have“.

Tatsächlich schreibt die US Executive Order (EO) 14028 vom Mai 2021 mit dem Titel „Improving the Nation's Cybersecurity“ den Einsatz von SBOMs vor, um die Sicherheit der US-Bundesdatenbanken zu erhöhen. Es macht Software-Stücklisten für jeden Softwareanbieter, der mit einer Regierungsbehörde zusammenarbeitet, zur Pflicht.

Wenn Unternehmen nicht wissen, was in ihrer Software enthalten ist, können sie letztendlich das Risiko, das sie für das Unternehmen oder mögliche nachgelagerte Kunden mit sich bringt, nicht vollständig verstehen oder einschätzen.

Anwendungsfälle von SBOM

Software-Stücklisten bieten Ihnen nicht nur Einblick in die Software von Drittanbietern und erleichtern so die Bekämpfung von Angriffen auf die Lieferkette, sondern helfen auch bei Folgendem:

1. Stärkung der Lieferanten-Käufer-Beziehungen

   Sowohl Softwareentwickler als auch ihre Benutzer müssen Vertrauen in die Software haben, mit der sie arbeiten. Die in einer SBOM enthaltenen Metadaten können von Einzelpersonen verwendet werden, um die Integrität der Software zu überprüfen und fehlerhafte oder anfällige Komponenten, die sich auf ihre Systeme und Prozesse auswirken könnten, schnell zu erkennen.

   Ebenso können SBOMs die Sicherheitsmaßnahmen hervorheben, die Softwareentwickler ergreifen müssen, um sichere, hochmoderne Software zu erstellen.

2. Durchführung umfassenderer Schwachstellenanalysen

   Unternehmen können SBOM-Komponenten auf Schwachstellen untersuchen. Wenn ein Problem vorliegt, achten sie auch darauf, welche Abhängigkeiten behoben werden müssen. Eine Schwachstelle ist ein Defekt, der von böswilligen Akteuren ausgenutzt werden kann, um Software oder das System, auf dem sie läuft, zu beschädigen.

   SBOMs können sicherstellen, dass die verwendete Software regelmäßig und auf dem aktuellsten Stand aktualisiert wird. Wenn nicht, können Sie eine Risikoanalyse nur für die veralteten Komponenten durchführen, anstatt Ressourcen für eine Überprüfung der gesamten Software zu verschwenden.

3. Bereitstellung hochwertigerer Software

   Wie das alte Sprichwort sagt: „Sagen Sie, was Sie tun, tun Sie, was Sie sagen.“ In ähnlicher Weise hilft die Erstellung und Bewertung einer SBOM Entwicklern normalerweise dabei, festzustellen, ob der Software-Build wirklich in seinem optimalen Zustand ist.

   Ist es konsistent und wiederholbar? Spiegelt die generierte SBOM wider, was nach Ansicht der Ingenieure in der Software enthalten ist? Oder gibt es eine Kluft? Die meisten SBOM-Generatoren decken zumindest einige Elemente der Software auf, die dem Anbieter nicht bekannt waren, was es ihm ermöglicht, die Softwarequalität zu verbessern und nur die besten Builds zu veröffentlichen.

4. Verbesserung der Entscheidungsfindung im Einkauf

   Durch die Verwendung von SBOMs, die von Drittanbietern von Software angeboten werden, können Beschaffungsmanager fundiertere Kaufentscheidungen für Software treffen. Mit einer Software-Stückliste können IT-Beschaffungsspezialisten vor dem Kauf „unter die Haube“ der Software gehen, um herauszufinden, wie sie funktioniert.

   

   Falls das SBOM vor dem Kauf nicht verfügbar ist, können Sie diesen Anwendungsfall innerhalb eines angemessenen Zeitfensters nach dem Kauf nutzen – bevor ein Vendor Lock-in einsetzen kann – und bei Bedarf den Anbieter wechseln.

5. Aufbau interoperabler Unternehmenssysteme

   Unternehmensarchitekten sind für den Aufbau des Technologierahmens eines Unternehmens verantwortlich. Wie bei einem Gebäudearchitekten ist es viel einfacher, einen Tech-Stack zusammenzustellen, wenn man alle Elemente der vorhandenen Ressourcen versteht. Dies gilt insbesondere für Fusionen und Übernahmen, bei denen Architekten keinen vollständigen Einblick in die Herkunft, Fähigkeiten und Einschränkungen der Software haben.

6. Verstärkte Reaktion auf Sicherheitsvorfälle

   SBOMs können als Validierung für Ereignisergebnisse und Empfehlungen dienen – ein Richtungsindikator dafür, was schief gelaufen ist. Als unterstützender Beweis hilft das SBOM bei der Untersuchung des Vorfalls und der Bewertung seiner Auswirkungen auf gleichzeitige Systeme oder frühere Systemversionen.

   Während und nach einem Vorfall können SBOMs auch die Interaktion zwischen Mitarbeitern, betroffenen Gruppen und Kunden erleichtern.

   Eine weitere Anwendung von SBOMs im Incident-Response-Management besteht darin, zu überprüfen, ob die von einer SBOM aufgelisteten Inhalte zum Zeitpunkt der Verbreitung ziemlich genau waren und keine identifizierten oder ungelösten Schwachstellen vorlagen.

   Dies kann das rechtliche Risiko und die Haftung für Unternehmen verringern, die von einer Datenschutzverletzung oder einem Vorfall gleicher Schwere betroffen waren.

Unternehmensüberlegungen zur Verwendung von SBOM: So maximieren Sie ihren Wert

Es liegt in der Verantwortung des Anbieters, eine vollständige Software-Stückliste für Ihre Verwendung zusammenzustellen, zu formatieren und bereitzustellen. Es reicht jedoch nicht aus, die SBOM zu erhalten; Unternehmen benötigen eine Governance-Strategie, um SBOMs an die wertvollsten Anwendungsfälle weiterzuleiten.

1. Erfahren Sie, an welche Lieferanten Sie eine SBOM-Anfrage senden müssen

   Da die Nutzung von Ressourcen im Allgemeinen einer festen Grenze unterliegt, müssen Sie mit einer Analyse der geschäftlichen Auswirkungen beginnen, um Ihre wichtigsten Dienstleister und kommerziellen Standard- oder COTS-Softwarelösungen zu ermitteln.

   Bei einigen Unternehmen mit strengen Sicherheitsstandards müssen alle Anbieter, die irgendeinen Einfluss auf die Daten der Organisation haben, eine SBOM einreichen. Für andere Parteien muss möglicherweise nur ein Teil der wichtigsten Dienstleister Teil dieses Prozesses sein.

   Zu berücksichtigen ist auch das Fachwissen Ihrer Anbieter. Ein etablierter Unternehmensanbieter ist besser darauf vorbereitet, das zu liefern, was Sie benötigen, als ein ramponiertes Startup.

2. Bestimmen Sie die Häufigkeit der SBOM-Aktualisierungen und nutzen Sie die Automatisierung

   Es ist auch wichtig, die Regelmäßigkeit zu berücksichtigen, mit der Sie SBOMs einreichen müssen. In bestimmten Branchen benötigen Kunden möglicherweise Updates, wenn die Software aktualisiert wird.

   Dies kann bei SaaS-Plattformen kontinuierlich – stündlich oder täglich – auftreten, aber diese Häufigkeit würde die Anbieter mit den Aufgaben der SBOM-Datenerfassung und -bereitstellung überfordern. In der Regel ist es vorzuziehen, in festgelegten Abständen (täglich, mit jeder neuen Version usw.) SBOM-Einblicke oder Schnappschüsse von Produkten anzufordern.

   Überprüfen Sie, ob Ihr Vertrag ein offizielles Service Level Agreement (SLA) für die SBOM-Lieferung enthält.

3. Richten Sie einen SBOM-Austausch- und Versionskontroll-Workflow ein

   Ein mit JSON- und XML-Dateien gefülltes Postfach ist eine ineffektive Möglichkeit zur Datenverwaltung. Organisationen benötigen mindestens eine strukturierte Methode zur Überwachung und Überwachung der Version jeder SBOM.

   Idealerweise benötigen Sie ein System, das die enthaltenen Informationen aufnehmen, dekodieren und auswerten kann. SBOM-Daten können von Plattformen wie Anchore und Mend.io erfasst werden, um unter anderem automatisierte Warnungen zu senden und automatisierte Sicherheitsanalysen durchzuführen.

Nächste Schritte

Um die Sicherheitsprotokolle Ihres Unternehmens weiter zu stärken, verbinden Sie SBOMs mit Tools zur Schwachstellenverwaltung. Beispielsweise können App- oder Container-Scanner anhand von SBOM-Daten nach erkannten Schwachstellen und Risiken suchen.

Da die Häufigkeit von Cyberangriffen zunimmt, ist die Sicherheit der Lieferkette heute ein wesentlicher Aspekt für alle Unternehmen. Software Bill of Materials (SBOM) ist ein äußerst nützliches Tool, das Unternehmen dabei hilft, Softwarekomponenten zu identifizieren und zu überwachen. Darüber hinaus werden Benutzer umfassend über potenzielle Sicherheits- oder Effizienzprobleme informiert.

Als Nächstes entwickeln Sie Ihre SBOM-Strategie mit den neuesten Erkenntnissen von Splunk zu Security Beyond Compliance . Wenn Ihnen die Lektüre dieses Artikels gefallen hat, teilen Sie ihn in den sozialen Medien, indem Sie oben auf die Schaltfläche Facebook, Twitter oder LinkedIn klicken!