Software-Stückliste
Werfen wir einen Blick darauf, warum Entwickler eine Software Bill of Materials (SBOM) erstellen sollten, um die Transparenz und Sicherheit ihrer Anwendungen zu gewährleisten.
Software-Stückliste
Öffnen Sie Ihre bevorzugte IDE, wechseln Sie in Ihr neuestes Projekt und öffnen Sie die entsprechende Lockfile (paket-lock.json, go.mod, Pipfile.lock, und so weiter). Sie werden wahrscheinlich Hunderte oder Tausende von Open-Source-Paketen und -Bibliotheken finden, was genau zeigt, wie weit die ungesehenen und unbekannten Teile Ihrer Anwendung verbreitet sind.
Eine Software Bill of Materials (SBOM) ist ein ähnliches Inventar aller Softwarekomponenten, Bibliotheken und Abhängigkeiten, auf die Ihre Anwendung angewiesen ist, geht aber über Paketnamen und angeheftete Versionen hinaus. Durch die Zusammenstellung von Daten zu Open-Source-Lizenzen und mehr verschafft Ihnen eine SBOM vollständige Transparenz, die Sie nutzen können, um Angriffe auf die Lieferkette zu verhindern oder neue Schwachstellen in einer Abhängigkeit zwei, drei oder mehr Schichten tief zu identifizieren.
sind die durchschnittlichen Kosten von Datenschutzverletzungen, bei denen Abhängigkeiten von Dritten als primärer Angriffsvektor eine Rolle spielen.
IBM
enthalten Open-Source-Tools und -Bibliotheken mit mindestens einer aktiven Sicherheitslücke.
Synopsys
unter beliebten Open-Source-Bibliotheken entdeckt, wobei 1 von 8 Downloads bekannte und vermeidbare Risiken enthält.
Sonatype
Ein Beispiel für eine Software-Stückliste und wie sie funktioniert
Ein SBOM gibt es in vielen verschiedenen Ausgabeformaten und Datenstrukturen, aber letztlich ist es eine Datenbank von Artefakten, einschließlich ihrer Paketnamen, Versionen, Quellen, Lizenzen, URLs und mehr. SBOMs identifizieren auch die Beziehung zwischen zwei Artefakten, um das Netz der Abhängigkeiten, auf das Ihre Anwendung angewiesen ist, transparent zu machen.
SBOMs sind zwar nicht besonders nützlich, um durch sie zu blättern, aber sie sind enorm hilfreich für das breitere Schwachstellenmanagement Ihrer Anwendung. Sie können die SBOMs Ihrer Anwendungen in andere Tools einspeisen, die Abhängigkeitsscans, Malware-Erkennung oder EOL-Daten (End-of-Life) anbieten, um sicherzustellen, dass Sie alle möglichen Schwachstellen in Ihrer Anwendung aufdecken - und nicht nur die oberflächlichen.
Wie hilft eine Software-Stückliste den Entwicklern?
Bei der Fehlersuche im laufenden Betrieb hilft Ihnen ein aktuelles SBOM, genau zu erkennen, welches Paket verantwortlich ist, selbst wenn es zwei oder drei Schichten tief liegt.
Mit einem umfassenden Verständnis der Komponenten, die Ihre Anwendung für einen effektiven Betrieb benötigt, können Sie proaktivere Risikominderungsmaßnahmen durchführen, indem Sie mögliche Schwachstellen identifizieren und Korrekturen oder Migrationen zu sichereren Abhängigkeiten priorisieren.
Mit einem SBOM verfügen Ihre Entwicklungs- und Betriebsteams über eine einzige Quelle der Wahrheit, um bei Problemen zusammenzuarbeiten oder proaktive Lösungen für aktuelle Probleme zu priorisieren.
SBOMs helfen dabei, Änderungen an den Metadaten einer Open-Source-Abhängigkeit zu erkennen, was ein Hinweis auf einen Angriff in der Lieferkette sein könnte, bei dem neue Pakete mit Malware injiziert wurden (erinnern Sie sich an die Backdoor von XZ Utils?)
Bestimmte Branchen und regulatorische Umgebungen erfordern ein vollständiges Inventar von Lizenzbedingungen und Beschaffungsbeständen - mit einer gut gepflegten und vollständigen SBOM können Sie die Einhaltung von Vorschriften sicherstellen und rechtliche Probleme vermeiden.
Implementierung einer Software-Stückliste: ein Überblick
Die Erstellung von SBOMs ist für die meisten Entwickler in ihrer lokalen Arbeitsumgebung möglich - eine Option ist ein Open-Source-Tool wie Syft, mit dem jedes Container-Image oder lokale Dateisystem untersucht werden kann:
Syft lokal mit ihrem One-Liner, Homebrew oder einer Binärversion.Oder mit Aikido
Bewährte Verfahren für die effektive Verwaltung Ihrer Software-Stückliste
Erstellen Sie Ihre ersten SBOMs so früh wie möglich in Ihrem Projekt, auch wenn Sie die Sicherheitsplattformen Ihrer Anwendung noch nicht vollständig ausgewählt haben. Je mehr Historie Sie haben, desto leichter lassen sich Änderungen verfolgen, die sich negativ auf Ihre Anwendung auswirken.
CLI-Tools sind zwar einfach auf Ihrer lokalen Workstation zu installieren, aber letztlich hinterlassen sie Artefakte, die Sie an anderer Stelle speichern und aggregieren müssen, um echte Erkenntnisse zu gewinnen. Binden Sie zumindest die SBOM-Generierung in Ihre CI/CD-Pipeline ein, um sicherzustellen, dass Sie nie einen manuellen Lauf vergessen.
Die Verwendung eines Industriestandardformats wie CycloneDX oder SPDX ermöglicht Ihnen die Integration mit mehr Sicherheitssoftware und die gemeinsame Nutzung von SBOMs mit Partnern oder Regulierungsbehörden.
Beginnen Sie mit der kostenlosen Erstellung einer Software-Stückliste
Verbinden Sie Ihre Git-Plattform mit Aikido, um eine Software-Bill-of-Materials-Analyse mit sofortigem Triaging, intelligenter Priorisierung und punktgenauem Kontext für schnelle Abhilfe zu starten.
Erste Ergebnisse in 60 Sekunden bei schreibgeschütztem Zugriff.
SOC2 Typ 2 und
ISO27001:2022 zertifiziert
