Alles über CycloneDX 1.5
09.07.2023
Interlynk
CycloneDX ist eine der drei SBOM-Spezifikationen, die von NTIA/CISA empfohlen werden.
Das CycloneDX-Team hat ihre neueste Version - 1.5, am 26. Juni veröffentlicht. Diese Version bietet Funktionen, die neue SBOM-Anwendungsfälle abdecken und bestehende Fähigkeiten erweitern.
Lassen Sie uns eintauchen.
xBOM Erweiterung
Quelle: CycloneDX-Funktionalitäten
CycloneDX ist bekannt für seine Flexibilität, eine Vielzahl von BOM-Typen zu unterstützen, wie SBOM, SaaSBOM und HBOM. CycloneDX 1.5 erweitert die Anwendungsfälle in vier Richtungen:
ML-BOM: SBOM für Anwendungen, die Machine Learning nutzen
MBOM: Klassische BOM als CycloneDX neben Prozessen und Tests
KBOM: SBOM für Kubernetes-Cluster
SBOM für Low-Code-Anwendungen
ML-BOM
Diese Version unterstützt den Aufbau eines Machine Learning Bill of Materials (ML-BOM) als CycloneDX-Dokument. Mit Version 1.5 kann CycloneDX helfen, Machine Learning-Modelle und Datensätze als Teil der SBOM-Komponenten zu dokumentieren. ML-BOM-Dokumente können dabei helfen, die Methoden, Einschränkungen und verwandten Anliegen des Modells, wie ethische KI oder Datenschutz, zu dokumentieren und zu teilen.
In der Spezifikation werden ML-BOM-Funktionen durch die Einbeziehung von machine-learning-model und data in den type des Komponenten-Knotens von CycloneDX 1.4 erstellt. Die Spezifikation umfasst auch externalReferences vom neuen Typ model-card. Dieser Verweis beschreibt die beabsichtigte Verwendung eines Machine Learning-Modells, mögliche Einschränkungen, Vorurteile, ethische Überlegungen, Trainingsparameter und andere ML-Transparenzdaten.
MBOM
Diese Version kann beschreiben, wie ein Produkt hergestellt wird, auch als Manufacturing Bill of Materials (MBOM) bezeichnet. Dies ist eine Verbesserung gegenüber der klassischen BOM (Liste der Fertigungskomponenten), da MBOM neben den Komponenten alle Teile umfasst, einschließlich Hardware, Firmware, Software, Prozesse und Tests.
MBOM-Funktionen sind die Einbeziehung neuer Typen in den components-Knoten:
platform
device-driverdata
MBOM verwendet auch den neu eingeführten formulation-Knoten, um zu beschreiben, wie eine Komponente oder Dienstleistung hergestellt oder bereitgestellt wurde. Dieser Knoten unterstützt die Einbeziehung von Einzelheiten zu Formeln, Aufgaben, Schritten und allen Dienstleistungen. Darüber hinaus kann jede Komponente auch ihre Formulierung festlegen, was eine rekursive Formulierung über den gesamten Herstellungsprozess ermöglicht.
Schließlich wurden die externalReferences-Typen erweitert, um neue Typen für evidence, formulation, quality-metrics und codified-infrastructure einzuschließen.
KBOM
Der Open-Source-Sicherheitsscanner Trivy von Aqua verwendet CycloneDX 1.5, um das Kubernetes Bill of Materials (KBOM) zu erzeugen. KBOM kann verwendet werden, um die Zusammensetzung eines Clusters, die Manifestationen von Komponenten, Versionen und Images zu dokumentieren.
Quelle: Einführung in KBOM — Kubernetes Bill of Materials
KBOM verwendet CycloneDX 1.5, um den Cluster in logische Einheiten "Control Plane", "Nodes" und "Addons" zu unterteilen — was eine Offline-Analyse des Clusters neben seiner Schwachstellen- und Sicherheitsüberwachung ermöglicht.
SBOM für Low-Code-Anwendungen
Die Komplexität von Low-Code-Anwendungen versteckt sich hinter Low-Code-Plattformen. Diese Version von CycloneDX ermöglicht es einer Low-Code-Plattform, den Zustand jeder Anwendung separat zu dokumentieren.
Funktionserweiterung
Quelle: OWASP Autoritativer Leitfaden zu SBOM: Lebenszyklusphasen
CycloneDX 1.5 verbessert die bestehende Abdeckung von SBOM mit spezifischen Verbesserungen bei der Dokumentation:
SDLC-Lebenszyklusphase für die Erstellung von SBOM
Kommerzielle Lizenzen
BOM-Reifegradmodell
SBOM-Qualität
Bekannte Unbekannte in Komponenten
Proof of Concept für Sicherheitsanfälligkeit
Lebenszyklusphase
CycloneDX definiert sieben Lebenszyklusphasen: Design, Vorbereitungsprozess, Bau, Nachbearbeitung, Betrieb, Entdeckung und Stilllegung. Darüber hinaus kann dasselbe Feld verwendet werden, um eine benutzerdefinierte Lebenszyklusphase zusammen mit der Beschreibung einer solchen Phase zu definieren. Der Autoritative Leitfaden zu SBOM bezeichnet den Lebenszyklus als nützlich für das Software Asset Management (SAM) und das IT Asset Management (ITAM). Vorgegebene Lebenszyklusphasen zeigen die SBOM-Dokumenttypen von CISA basierend auf dem Erstellungszeitpunkt.
CycloneDX 1.5 umfasst den Lebenszyklus als Teil des metadata-Knotens, der zuvor Zeitstempel, Werkzeuge, Anbieter, Lizenzen und Autoren beinhaltete.
Kommerzielle Lizenzen
Dieses Release fügt auch Unterstützung für die Dokumentation kommerzieller Lizenzen im SBOM hinzu. Dies bietet neben der Unterstützung für Open-Source-Lizenzen, die von CycloneDX 1.4 übernommen wurde, einen robusten Mechanismus zur Dokumentation aller Lizenzen innerhalb eines Produkts. Das Lizenzmanagement, einschließlich der Nachverfolgung der Lizenznutzung, Erneuerungen und möglicher Verstöße, ermöglicht es SBOM, die Anforderungen von SAM und ITAM zu erfüllen.
Quelle: Kommerzielle Lizenzexpression in CycloneDX 1.5
BOM-Reifegradmodell
Der OWASP-Standard zur Verifizierung von Softwarekomponenten (SCVS) bewertet die Reife der Softwarelieferkette einer Organisation. Die drei Stufen von SCVS ermöglichen eine Bewertung von Inventar, SBOM, Build-Umgebung, Paketverwaltung, Komponentenanalyse und Herkunft sowie Provenienz von Komponenten.
Das BOM-Reifegradmodell, das aus SCVS abgeleitet ist, ermöglicht die Bewertung von SBOM gegen festgelegte Richtlinien. Eine solche Bewertung kann Feedback an SBOM-Generatoren wie SBOM-Tools oder Komponentenanbieter liefern.
SBOM-Qualität
Quelle: Kommerzielle Lizenzexpression in CycloneDX 1.5
Der Autoritative Leitfaden zu SBOM beschreibt alle neuen Funktionen von CycloneDX 1.5. Das gleiche Dokument legt fest, dass SBOM "Qualität" ein multidimensionales Konstrukt für Breite, Tiefe, Lebenszyklen, Techniken und Vertrauen ist.
Die Felder lifecycle und evidence spielen eine Schlüsselrolle bei der Angabe der Qualität des SBOM. evidence bietet die Möglichkeit, Beweise zu dokumentieren, die durch verschiedene Formen der Extraktion oder Analyse gesammelt wurden.
Innerhalb der CycloneDX-Spezifikation wird evidence bei Komponenten > Evidence-Knoten pro Komponente aufgezeichnet. Die Werte können das Vertrauen in die Beweise, verwendete Werkzeuge und den Callstack für die Beweise umfassen.
Bekannte Unbekannte für Komponenten
Quelle: Autoritativer Leitfaden zu SBOM
CycloneDX 1.5 verbessert die Aufzeichnung der Vollständigkeit von SBOM, indem neue Felder zum compositions > aggregate-Knoten eingeführt werden, um die Vollständigkeit von – ersten und dritten Parteien, proprietären und Open-Source-Komponenten zu verdeutlichen.
Proof of Concept für Sicherheitsanfälligkeit
Die Offenlegung und das Management von Sicherheitsanfälligkeiten wurden ebenfalls mit CycloneDX 1.5 verbessert. Die Spezifikation erlaubt die Aufzeichnung des proofOfConcept-Knotens unter Vulnerabilities, der – Reproduktionsschritte, Umgebung und unterstützendes Material für jeden bekannten Proof of Concept erfassen kann.
Der vulnerabilities-Knoten unterstützt auch die Aufzeichnung von rejected als das Datum und die Uhrzeit (Zeitstempel), an dem der Sicherheitsanfälligkeitsdatensatz abgelehnt wurde (falls zutreffend).
CycloneDX setzt seinen Fortschritt fort, um die Abdeckung des SBOM zu verbessern und die Interpretation und Nutzung der Daten zu optimieren.
INHALTSTABELLE