5 wichtige Erkenntnisse aus der neuesten SBOM-Einführungsforschung
26.01.2024
Interlynk
Die Landschaft der Software-Lieferketten wird zunehmend komplexer, was zu größeren Sicherheits- und Compliance-Risiken führt. Eine effektive Möglichkeit, diese Herausforderungen anzugehen, ist durch Software-Bill-of-Materials (SBOMs) - umfassende Listen, die alle Komponenten eines Softwareprodukts detailliert darstellen. Diese helfen Organisationen, Sichtbarkeit in Abhängigkeiten zu gewinnen und ihre Software-Lieferkette besser zu verwalten.
Trotz ihres Wertes entwickelt sich die SBOM-Adoption langsamer als erwartet.
Forscher von Northwave Cyber Security und TU Delft untersuchten die SBOM-Adoption aus der Perspektive von Geschäftsstakeholdern. Ihr Papier, Den Weg zur SBOM-Annahme gestalten: Ein geschäftsstakeholderzentrierter Ansatz, bietet neue Einblicke in die Barrieren und Chancen rund um die Verwendung von SBOM.
Höchstes Geschäftsrisiko: Kompromittierte Komponenten und langsame Reaktion auf Verwundbarkeiten
Kompromittierte Komponenten und verzögerte Reaktionszeiten auf Sicherheitsanfälligkeiten werden als die primären Geschäftsrisiken angesehen, die die SBOM-Adoption vorantreiben.
50% der B2B-Organisationen
67% der Software-Integratoren (SI)
…hoben dies als ein großes Anliegen hervor.
Interessanterweise haben Software-Anbieter (SV) nicht kompromittierte Komponenten als Risiko genannt — was darauf hindeutet, dass die Nachfrage nach SBOM hauptsächlich von Softwareverbrauchern und nicht von den Erstellern ausgeht.
Die zunehmende Aufmerksamkeit von Systemintegratoren deutet jedoch darauf hin, dass die Integration von SBOM in Beschaffungsprozesse möglicherweise früher als erwartet erfolgen könnte.
Hauptanliegen der Entwickler: Mangel an Wissen
Eine bemerkenswerte Erkenntnis: 100 % der Entwickler (DEV) gaben an, dass ein mangelndes Wissen und Fachkenntnis die größte Hürde bei der Einführung von SBOMs darstellt.
Dies ist kontraintuitiv, angesichts der Verfügbarkeit von:
Ressourcen von CISA
Open-Source-Communities wie SPDX und CycloneDX
Wachsendem öffentlichen Interesse (wie in Google Trends zu sehen ist)
Aber das Papier erklärt, dass, während die Geschäftsbereiche die Erwartungen an SBOMs jetzt besser verstehen, Entwickler Schwierigkeiten haben, klare, direkte Vorteile zu erkennen, was die Motivation verringert, die verfügbaren Ressourcen zu erkunden.
Höchste Geschäftssorge: SBOM-Qualität
Die schlechte Qualität von SBOM wird als das Haupthindernis für die Einführung angesehen.
100 % der B2B-Befragten
80 % der Entwickler
…wiesen auf die SBOM-Qualität als ein signifikantes Problem hin.
Da der Nutzen von SBOM stark von seiner Vollständigkeit und Genauigkeit abhängt, sind Verbesserungen der Qualität entscheidend. Interlynk konzentriert sich darauf über:
Open-Source-Tools
SBOM-Benchmarking-Anreize
KI-gesteuerte Lösungen zur Verbesserung von SBOM
Wichtiges Anliegen der Entwickler: Fehlklassifizierung von Schwachstellen
Entwickler sorgen sich auch um Fehlklassifizierung von Schwachstellen — einschließlich falsch positiver und falsch negativer Ergebnisse.
Trotz Verbesserungen in Frameworks wie VEX,
60% der Entwickler halten ungenaue Schwachstellendaten für ein erhebliches Hindernis bei der SBOM-Adoption.
Top Geschäftsnutzen: Transparenz und besseres Schwachstellenmanagement
Die Befragten hoben zwei starke Vorteile von SBOM hervor:
1. Verbesserte Schwachstellenverwaltung über die Lieferkette
2. Größere Transparenz in Bezug auf Softwareabhängigkeiten
Stakeholder-spezifische Einblicke:
B2B: einhellige Zustimmung zur verbesserten Schwachstellenverwaltung
Systemintegratoren: betonen die Transparenz als den Hauptwert
Entwickler: 80 % schätzen beide gleichwertig
Zusätzliche wichtige Erkenntnisse
Systemintegratoren und Softwareanbieter sind die wahrscheinlichsten frühen Anwender.
B2B-Kunden und einzelne Entwickler sind am wenigsten wahrscheinlich.
Viele Interessengruppen haben weiterhin keine Klarheit über die Vorteile und Bedenken von SBOM.
Weitere Arbeiten sind erforderlich, um Standards, Werkzeuge und Benutzbarkeit für die SBOM-Erstellung und -Nutzung zu verbessern.
Die Einführung von SBOM befindet sich noch in der frühen Phase, aber das Interesse wächst.
Politikmacher, Branchenführer und Werkzeuganbieter müssen zusammenarbeiten, um die Einführung zu beschleunigen.
Wie Interlynk Hilft
Interlynk optimiert und automatisiert Sicherheitsmeldungen mit Hilfe von Open-Source-Tools und KI-gestützten Lösungen, um die Qualität von SBOM zu verbessern und Einblicke in Schwachstellen zu erweitern.
📩 Für weitere Informationen: hello@interlynk.io
Anerkennung
Vielen Dank an Yury Zhauniarovich für das Teilen der Forschung und das Gewähren der Erlaubnis, unsere Erkenntnisse zu veröffentlichen.
🔗 Referenz:
https://zhauniarovich.com/publication/2024/kloeg2024charting/
INHALTSTABELLE