SBOM-Konformität: FAQ
30.08.2023
Interlynk
Was ist das Software-Bill-of-Materials (SBOM)?
SBOM ist ein formeller Nachweis, der die Details und die Beziehungen in der Lieferkette verschiedener Komponenten enthält, die zum Bauen eines Softwareprodukts verwendet werden. SBOM wird mit dem Stückliste (BOM) für physische Güter verglichen; jedoch spiegelt SBOM aufgrund der Natur der Softwareentwicklung (kontinuierliche Entwicklung und Updates) den Zustand eines Softwareprodukts nur zu einem bestimmten Zeitpunkt wider.
Wofür wird das SBOM verwendet?
Das SBOM kann die Lieferkette seiner Komponenten (Open-Source- oder kommerzielle Komponenten im Produkt und ihre Integrität) verfolgen und sicherstellen sowie potenzielle rechtliche oder Cyber-Sicherheitsrisiken bewerten, wie z. B. die Verwendung einer falschen Lizenz oder einer Komponenten am Ende ihres Lebenszyklus. Das SBOM kann auch als formelle Aufzeichnung zur Überwachung neuer Zero-Day-Sicherheitsanfälligkeiten gespeichert werden.
Was ist die SBOM-Compliance?
Seit seiner Gründung im Jahr 2019 hat die Cybersecurity and Infrastructure Security Agency (CISA) ein System angestrebt, um Bundesbehörden vor Angriffen auf die Software-Lieferkette zu schützen. SBOM wurde als eine potenzielle Lösung empfohlen und mit dem Erlass 14028 des Weißen Hauses formalisiert. Die Initiative hat ihren Weg durch verschiedene Bundesbehörden wie die FDA für medizinische Geräte, die FTC für vernetzte Geräte und das OMB für Softwarekäufe in Bundesbehörden gemacht. SBOM ist auch ein Schlüsselstützpunkt des Nationalen Plans zur Umsetzung der Cybersicherheitsstrategie für Transparenz und Nachverfolgung des Lebenszyklus. Die SBOM-Compliance ist ein Überbegriff, um sicherzustellen, dass Organisationen sich darauf vorbereiten können, SBOM zu erstellen und zu teilen.
Wie erfülle ich die Anforderungen für die SBOM-Compliance?
Die SBOM-Compliance erfordert drei Teile:
SBOM des Build-Produkts mit jeder Veröffentlichung/Patch des Produkts erstellen
Die Genauigkeit der produzierten SBOM signieren und bestätigen
SBOM mit dem entsprechenden Kunden oder der Behörde teilen
SBOM erstellen
Die CISA empfiehlt eines der drei offenen Formate: CycloneDX, SPDX, und SWID für den Aufbau von SBOM. Die SBOM-Generierung variiert je nach Entwicklungseinrichtung, Build-Umgebung und zugrunde liegenden Entwicklungspraktiken. SBOM kann aus dem Quellcode oder aus Build- und Veröffentlichungs-Pipelines generiert werden. SBOM kann auch erstellt werden, indem binäre Artefakte (SCA) oder zugrunde liegende Manifeste für Artefakte wie Container-Images analysiert werden. Die Seiten der Tools für CycloneDX und SPDX sind großartige Ausgangspunkte für mehrere Open-Source- und kommerzielle Generierungstools, die sich über viele Entwicklungsumgebungen erstrecken.
SBOM signieren
Einige Behörden verlangen, dass SBOM signiert wird, um die Integrität des Inhalts sicherzustellen. Das Signieren der SBOM stellt sicher, dass der Inhalt der SBOM überprüft und vom Softwareentwickler bestätigt wurde. SBOM kann mit Open-Source-Tools wie co-sign für Container-Images oder mit einem kommerziellen Zertifikat wie RSA-Zertifikaten von CA signiert werden.
SBOM teilen
SBOM listet alle Open-Source- und kommerziellen Komponenten sowie deren Beziehungen, die in der SBOM enthalten sind, zusammen mit deren Versionen, Lizenzen und Validierungsinformationen wie Hashes. Dies sollte als sensibles Dokument behandelt und mit Vorsicht geteilt werden. Der Compliance-Prozess hat jedoch nicht ausdrücklich nach einem bestimmten Verfahren zum Teilen gefragt, sodass es theoretisch möglich ist, über E-Mail oder als gemeinsames Dokument zu teilen. Interlynk empfiehlt die Verwendung von Sharing-Mechanismen, die überprüfbar und nachverfolgbar sind.
Wie wird das SBOM verwendet?
CISA empfiehlt, SBOM für die Integritätsprüfung und Überwachung von Anwendungen zu verwenden, die Agenturen für neue Zero-Day-Sicherheitsanfälligkeiten und Software am Ende ihres Lebenszyklus verwenden. Dies erfordert, dass SBOM eine Mindestanzahl von Elementen (NTIA Minimum Elements) sowie geeignete Produkt- und Komponentenbezeichnungen (PURL und CPE) enthält. Daher ist es wichtig, ein SBOM zu erstellen, das ausreichende Produkt- und Komponentenbezeichnungen, Überprüfung von Identifikatoren und Beziehungen zwischen Komponenten umfasst.
Wo kann ich mehr lernen?
Interlynk wird von Experten in diesen aufstrebenden Technologien entwickelt, und wir freuen uns, alle Fragen, die Sie haben, zu beantworten. Zögern Sie nicht, uns unter hello@interlynk.io oder über interlynk.io zu kontaktieren.