Der Bedarf an SBOM - Teil 2

Software oder Softwarekomponenten von Grund auf neu zu schreiben, ist in der modernen Softwareentwicklung selten. Vorhandene Bibliotheken und Frameworks bieten die Grundlage für die Entwicklung neuer Funktionen und Features, und dieses neue Produkt kann die Basis für ein weiteres Produkt werden.

Diese Schichtung von Software und Komponenten kann jedoch zu blinden Flecken für den Entwickler und die Verbraucher führen. In Teil 1 haben wir erörtert, wie die Schichtung eine Herausforderung bei der Identifizierung von Zero-Day-Sicherheitsanfälligkeiten (weltweit mit log4shell erlebt) darstellt.

Weitere Risiken sind mit der Software unbekannter Zusammensetzung verbunden, einschließlich:

• das Risiko, Komponenten mit einer restriktiven Lizenz einzuschließen

• Komponenten am Ende ihres Lebenszyklus oder

• Komponenten, die von staatlichen Akteuren beeinflusst werden.

Die Fertigung hat ähnliche Bedenken in der Lieferkette und im Bestandsmanagement behandelt, indem sie Build of Materials (BOM), Obsolescence Management, Produktänderungsbenachrichtigung (PCN) und End-of-Life (EOL) Management entwickelt hat.

SBOM bringt dieses Wissen und diese Praktiken in die Softwareentwicklung ein.

‍