Der Bedarf an SBOM - Teil 1
01.03.2023
Interlynk
Im Jahr 2023 dominiert das Software-Lieferkettenverzeichnis („SBOM“) weiterhin die Gespräche über Softwareoffenlegung und -sicherheit. Während es alternative Ansätze für die Softwareoffenlegungen gibt, wurde SBOM von einer multistakeholder Gruppe, die von der National Telecommunications and Information Administration (NTIA) in einem mehrjährigen Prozess geleitet wird, geprüft und wird daher als angemessen und effektiv für die Reduzierung der Cybersicherheitsrisiken bei Maschinen Geschwindigkeit angesehen. Es könnte sich lohnen, einen Doppelklick durchzuführen, um zu verstehen, wie das so ist.
CVE und NVD
Seit 1999 verwaltet MITRE eine Liste von öffentlich offengelegten Cybersicherheitsanfälligkeiten mit speziell zugewiesenen IDs, die als Common Vulnerability Enumeration („CVE“) bezeichnet werden.
CVEs decken eine Vielzahl von Hardware, Software und deren Komponenten ab, wie z.B. CVE-2013–4632: Anfälligkeit für Dienstverweigerung im Huawei Access Router (AR), CVE-2022–30190: Anfälligkeit für die Ausführung von Remotecodes im Microsoft Windows Support Diagnostic Tool (MSDT) und CVE-2022–44054: ein potenzielles Code-Hintertür im d8s-xml PyPI-Paket.
Sicherheitsforscher suchen kontinuierlich nach neuen Anfälligkeiten in öffentlich verfügbaren Software- und Hardwareprodukten und dokumentieren diese mit CVE, um von den Entwicklern, die diese Produkte erstellen, behoben zu werden.
Die CVE-Liste von MITRE umfasst die National Vulnerability Database („NVD“), ein U.S.-Regierungsrepository für standardisierte Anfälligkeitsinformationen. NVD basiert auf und ist vollständig mit der CVE-Liste von MITRE synchronisiert.
Dieses Ökosystem ermöglicht es, jedes Produkt und jede Version gegen die NVD auf alle bekannten Anfälligkeiten zu überprüfen. Der Produktname/die Version der Anfälligkeitskarte ist seit fast zwei Jahrzehnten die Grundlage für Programme zum Management von Anfälligkeiten.
Aber selbstverständlich gibt es eine Herausforderung.
Software-Lieferkette
Moderne Hardware und Software werden selten von Grund auf neu geschrieben. Eine typische Anwendung besteht aus vorgefertigten Open-Source- oder kommerziellen Drittanbieter-Komponenten. Zum Beispiel enthält das iPhone 14 Samsungs Display-Panels, Sonys Bildsensoren, Qualcomm-, Broadcom- und Skyworks-Komponenten, während die Solarwinds Network Configuration Manager (NCM)-Anwendung ActiveSkin, UltraToolBars und Log4Net, unter anderem, umfasst.
Quelle: https://www.therussianstore.com/blog/the-history-of-nesting-dolls/
Die Komponenten können von Unterkomponenten abhängen, die von einer anderen Schicht von Open-Source- oder kommerziellen Anbietern bereitgestellt werden. Log4Net verwendet eine weitere Open-Source-Bibliothek, qs, für die Abfrageanalyse.
Diese Kette von Abhängigkeiten kommerzieller oder Open-Source-Komponenten kann die Suche nach Schwachstellen weniger effektiv machen. Es sei denn, die Zusammensetzung von SolarWinds NCM ist bekannt, kann eine Suche nach dem Produktnamen — Network Configuration Manager — nicht in der Lage sein, zugrunde liegende Schwachstellen von qs aufgrund der verschachtelten Abhängigkeiten aufzudecken (NCM enthält Log4Net, das wiederum qs enthält).
Dies ist die grundlegende Herausforderung bei der Sicherung von Software mit unbekannter Zusammensetzung, und SBOM versucht, dies zu lösen.
In Teil 2 — Wie SBOM programmierbare Komponenten zerlegt und ausdrückt, um seine Konformität und Sicherheitsrisiken genau zu bewerten.
INHALTSTABELLE