Alles über CycloneDX 1.6
Ingenieurwesen
SBOM ist die Grundlage für Transparenz in der Software und Cyber-Resilienz.
CycloneDX ist eine der drei SBOM-Spezifikationen, die von NTIA/CISA empfohlen werden, und eine der beliebtesten SBOM-Spezifikationen.
Die OWASP Foundation hat earlier diesen Monat die CycloneDX-Version 1.6 veröffentlicht.
Zusätzlich zu mehreren Verbesserungen fügt Version 1.6 die Möglichkeit hinzu, ein kryptografisches Stücklisten (CBOM) zu erstellen und CycloneDX-Bestätigungen (CDXA) anzugeben.
Lass uns eintauchen.
Post-Quanten-Kryptographie (PQC)
Mit dem Fortschritt der Quantencomputing wird es letztendlich möglich sein, alle legacy-Kryptografien zu brechen, die für digitale Signaturen und Verschlüsselung verwendet werden. CISA führt eine Post-Quantum-Kryptographie (PQC) Initiative durch, um Bundesbehörden und private Unternehmen auf diesen quantenhaften Sprung vorzubereiten. Eine der frühen Empfehlungen ist, ein kryptografisches Inventar der verwendeten Vermögenswerte aufzubauen.
Hier kommt CycloneDX 1.6 ins Spiel.
Kryptographisches Bill of Materials (CBOM)
Das CBOM ist eine Erweiterung des SBOM, die kryptografische Eigenschaften umfasst. OWASP veröffentlichte einen autoritativen Leitfaden zum CBOM zusammen mit der Veröffentlichung von CycloneDX 1.6, um den Aufbau und die Nutzung von CBOM zu leiten.
Die Forschung von IBM im Bereich CBOM erweiterte die CycloneDX-Version 1.4 um:
Komponente:
crypto-assetEigenschaften:
cryptoPropertiesAbhängigkeiten:
dependencyType
CycloneDX 1.6 erreicht dasselbe durch:
Hinzufügen eines
cryptographic-assetzu den unterstützten KomponententypenHinzufügen eines
provideszu seinemdependencies-Knoten, um die Identifizierung eines kryptografischen Wertes (Funktionalität, Dateien), die von einer Komponente bereitgestellt werden, zu unterstützenHinzufügen von
cryptoPropertieszu demcomponents-Knoten, um Details zu den kryptografischen Assets zu erfassen
cryptoProperties spielt eine Schlüsselrolle dabei, eine Vielzahl von kryptografischen Assets und zugehörigen Metadaten zu dokumentieren, wie:
assetType— der Typ des beschriebenen Assets: Algorithmus, Zertifikat, Protokoll oder verwandtes MaterialalgorithmProperties— Wenn der Asset-Typ einalgorithmist, beschreibt dies Algorithmenmerkmale wie Primitive, Kurve, Padding, Umgebung und Sicherheitsstufe (klassisch und nistQuantum)certificateProperties— Wenn der Asset-Typ dascertificateist, beschreibt dies Zertifikatsmerkmale wie Name, Aussteller, Gültigkeitszeitraum, Format und SignaturdetailsprotocolProperties— Wenn der Asset-Typ dasprotocolist, kann dies den spezifischen Typ (‘tls’, ‘ipsec’), Version, verwendete Cipher Suites und IKEv2-Transformationsarten angebenrelatedCryptoMaterialProperties— Wenn der Asset-Typrelated-crypto-materialist, beschreibt dies zusätzliche Details wie Größe, Format, Wert, Erstellungs-, Aktualisierungs- und Aktivierungsdaten
Der autoritative Leitfaden zum CBOM enthält Beispiele, einschließlich eines zur Beschreibung von “AES-128-GCM”.
Die CBOM-Ergänzung verweist auf und dankt der Forschung von IBM zum CBOM, und daher sollte jede Implementierung sowohl die Spezifikation als auch die IBM-Forschung für Hintergrundinformationen verwenden.
CycloneDX-Bestätigungen (CDXA)
CycloneDX 1.6 fügt Attestierungen hinzu und beschreibt dies als „Compliance als Code.“ OWASP hat zusammen mit der Veröffentlichung von CycloneDX 1.6 auch einen autoritativen Leitfaden zu Attestierungen veröffentlicht, um den Aufbau und die Nutzung von CDXA zu leiten.
Darüber hinaus hat OWASP einen autoritativen Leitfaden zu Attestierungen veröffentlicht.
CDXA zielt darauf ab, Attestierungen zu verwenden, um Sicherheitsanforderungen zu erfüllen, die Evidenzgenerierung zu automatisieren, mit Prüfern zu kommunizieren und als Standard für maschinenlesbare Versionen ihrer Anforderungen zu fungieren.
Compliance als Code
Im CDXA-Ansatz wird die Einhaltung der Standards in folgende Punkte unterteilt:
Definition von Standardanforderungen
Geltendmachung von Ansprüchen gegenüber diesen Anforderungen
Erfassung von Beweisen zur Unterstützung dieser Ansprüche
Unterzeichnung der Bestätigung, die alles oben Genannte auflistet
Bestätigungen sind eine Sammlung von Ansprüchen, Gegenansprüchen und zugehörigen Beweisen.
Im CDXA werden die Ansprüche, Gegenansprüche, Beweise und zugehörige Metadaten alle im SBOM dokumentiert und kryptografisch vom bestätigenden Teil unterzeichnet.
Um das zu erreichen, fügt CycloneDX 1.6 hinzu:
definitions-Knoten zur Spezifizierung eines Standards und dessen Detailsdeclarations-Knoten zur Erfassung zugehöriger Ansprüche, Beweise, Signaturen und Metadaten
Definitionen
Der definitions-Knoten dient der detaillierten Beschreibung des Standards und unterstützt die Standardversionierung sowie Compliance-Stufen.
CDXA wird mit Attestierungsschemas für gängige Sicherheitsstandards geliefert:
NIST Secure Software Development Framework (SSDF)
PCI Secure Software Life Cycle (PCI-SLC)
Build Security in Maturity Model (BSIMM)
OWASP Application Security Verification Standard (ASVS)
OWASP Mobile Application Security Verification Standard (MASVS)
OWASP Software Component Verification Standard (SCVS)
Es kann auch einen benutzerdefinierten Standard mit Attestierungsanforderungen erstellen.
Die SSDF-Anforderungen werden beispielsweise im CycloneDX-Repository aufgeschlüsselt.
Erklärungen
Der declarations Knoten ist die tatsächliche Aufzeichnung von Ansprüchen, die sich auf den Inhalt von SBOM und die standardisierten Anforderungen beziehen.
CDXA unterstützt die Aufzeichnung der Liste von bewertenden Parteien, die unterzeichnete Ansprüche, einschließlich Begründungen, Beweisen, Gegenbeweisen und Minderungstrategien, umfasst.
Der OWASP Autoritative Leitfaden zu Attestierungen enthält Beispiele dafür, wie man Ansprüche attestieren kann.
CDXA macht einen großen Schritt in Richtung automatischer Erstellung von Beweisen für viele Anforderungen, benötigt jedoch zusätzliche Werkzeuge, um spezifische Details festzuhalten.
Beispiel: SSDF PW2.1: “Haben Sie eine qualifizierte Person (oder Personen), die nicht an dem Design beteiligt waren.”
CycloneDX macht weiterhin Fortschritte bei der Verbesserung der Abdeckung des SBOM und bei der effektiveren Interpretation und Nutzung der Daten.
CBOM und CDXA werden das Risikomanagement der Post-Quantum-Kryptographie und die Bewegung „Compliance als Code“ erheblich vorantreiben.