PLB-SBOM oder: Wie man SBOM für eine Gruppe von Produkten zusammenstellt

Software-Bill-of-Materials (SBOM) wird für die meisten CI/CD-Pipelines unverzichtbar.

‍SBOM erfasst ein Inventar der Komponenten, die das spezifische Projekt zusammen mit den zugehörigen Metadaten bilden.

‍Die meisten komplexen Anwendungen in der realen Welt werden jedoch als eine Sammlung oder ein Zusammenstellung von Anwendungen erstellt - manchmal mehr als nur ein paar Schichten tief.

‍Ein Beispiel: Ein Smartphone ist eine Sammlung von unabhängig erstellten Apps, die auf einem Betriebssystem basieren - vermutlich als Integration von Projekten entwickelt. Die Drittanbieter-Apps können die Funktionen der First-Party-Apps aufrufen, die wiederum von externen Diensten abhängen könnten.

‍Es gibt viele Möglichkeiten, wenn es darum geht, ein SBOM für ein komplexes Mehrschichtsystem zu erstellen.

‍Um Leitlinien für bewährte Praktiken zu diesem Thema festzulegen, hat die CISA-Arbeitsgruppe für SBOM-Tools und -Implementierung gerade veröffentlicht - Leitlinien zum Zusammenstellen einer Produktgruppe”. Die zweiseitige Anleitung - ein Muss für jedes Lesen - trennt zwischen UNBEDINGTEN und EMPFOHLENEN Leitlinien und enthält ein Beispiel für ein solches Assembly.