5 Haupterkenntnisse aus der neuesten Forschung zur SBOM-Einführung
| Interlynk
Die Landschaft der Software-Lieferketten wird immer komplexer, was zu größeren Sicherheits- und Compliance-Risiken führt. Ein wirksames Mittel zur Bewältigung dieser Herausforderungen sind Software-Stücklisten (Software Bills of Materials – SBOMs) – umfassende Listen, die alle Komponenten eines Softwareprodukts detailliert aufführen. Diese helfen Unternehmen, Transparenz über Abhängigkeiten zu gewinnen und ihre Software-Lieferkette besser zu verwalten.
Trotz ihres Wertes schreitet die Einführung von SBOMs langsamer voran als erwartet.
Forscher von Northwave Cyber Security und der TU Delft haben die Einführung von SBOMs aus der Perspektive der geschäftlichen Stakeholder untersucht. Ihr Papier Charting the Path to SBOM Adoption: A Business Stakeholder-Centric Approach bietet neue Einblicke in die Barrieren und Chancen rund um die Nutzung von SBOMs.
Größtes Geschäftsrisiko: Kompromittierte Komponenten und langsame Reaktion auf Schwachstellen
Kompromittierte Komponenten und verzögerte Reaktionszeiten auf Schwachstellen werden als die primären Geschäftsrisiken angesehen, die die Einführung der SBOM vorantreiben.
50 % der B2B-Unternehmen
67 % der Software-Integratoren (SI)
…hoben dies als eine Hauptsorge hervor.
Interessanterweise nannten Software-Hersteller (SV) kompromittierte Komponenten nicht als Risiko — was signalisiert, dass die SBOM-Nachfrage primär von Software-Konsumenten und nicht von den Erstellern getrieben wird.
Die zunehmende Aufmerksamkeit von Systemintegratoren deutet jedoch darauf hin, dass die SBOM-Integration in Beschaffungsprozesse schneller als erwartet erfolgen könnte.
Größte Sorge von Entwicklern: Mangelndes Wissen
Ein bemerkenswertes Ergebnis: 100 % der Entwickler (DEV) gaben an, dass mangelndes Wissen und fehlende Expertise das größte Hindernis für die Einführung von SBOMs sind.
Dies ist kontraintuitiv, wenn man die Verfügbarkeit von Folgendem bedenkt:
Ressourcen von CISA
Open-Source-Communities wie SPDX und CycloneDX
Wachsendem öffentlichem Interesse (wie in Google Trends zu sehen)
Die Studie erklärt jedoch, dass Business-Teams die SBOM-Erwartungen mittlerweile zwar besser verstehen, Entwickler jedoch Schwierigkeiten haben, klare, direkte Vorteile zu erkennen, was die Motivation verringert, sich mit den verfügbaren Ressourcen auseinanderzusetzen.
Größte Sorge von Unternehmen: SBOM-Qualität
Eine schlechte SBOM-Qualität wird als das Haupthindernis für die Einführung angesehen.
100 % der B2B-Befragten
80 % der Entwickler
…wiesen auf die SBOM-Qualität als ein erhebliches Problem hin.
Da der Nutzen einer SBOM stark von ihrer Vollständigkeit und Genauigkeit abhängt, sind Qualitätsverbesserungen unerlässlich. Interlynk konzentriert sich darauf durch:
Open-Source-Tools
Anreize für das SBOM-Benchmarking
KI-gestützte Lösungen zur SBOM-Optimierung
Hauptsorge von Entwicklern: Fehlklassifizierung von Schwachstellen
Entwickler sorgen sich auch um die Fehlklassifizierung von Schwachstellen — einschließlich falsch-positiver und falsch-negativer Ergebnisse.
Trotz Verbesserungen in Frameworks wie VEX betrachten
60 % der Entwickler ungenaue Schwachstellendaten als erhebliches Hindernis für die Einführung von SBOMs.
Wichtigste geschäftliche Vorteile: Transparenz und besseres Schwachstellenmanagement
Die Befragten hoben zwei wesentliche Vorteile der SBOM hervor:
1. Verbessertes Schwachstellenmanagement über die gesamte Lieferkette hinweg
2. Größere Transparenz bezüglich Software-Abhängigkeiten
Stakeholder-spezifische Erkenntnisse:
B2B: Einstimmige Zustimmung zur Verbesserung des Schwachstellenmanagements
Systemintegratoren: Betonen Transparenz als Hauptwert
Entwickler: 80% schätzen beide Aspekte gleichermaßen
Weitere wichtige Erkenntnisse
Systemintegratoren und Softwarehersteller sind am ehesten die ersten Anwender.
B2B-Kunden und einzelne Entwickler sind am wenigsten wahrscheinlich.
Vielen Stakeholdern fehlt es noch an Klarheit über die Vorteile und Bedenken bezüglich SBOMs.
Es ist noch mehr Arbeit an Standards, Tools und der Benutzerfreundlichkeit für die Erstellung und Nutzung von SBOMs erforderlich.
Die Einführung von SBOMs befindet sich noch in der Anfangsphase, aber das Interesse steigt.
Politische Entscheidungsträger, Branchenführer und Tool-Anbieter müssen zusammenarbeiten, um die Einführung zu beschleunigen.
Wie Interlynk hilft
Interlynk optimiert und automatisiert Sicherheitsrisiko-Offenlegungen mithilfe von Open-Source-Tools und KI-gestützten Lösungen, um die SBOM-Qualität zu verbessern und tiefere Einblicke in Schwachstellen zu gewinnen.
📩 Für weitere Informationen: hello@interlynk.io
Anerkennung
Vielen Dank an Yury Zhauniarovich für das Teilen der Forschungsergebnisse und die freundliche Genehmigung, unsere Erkenntnisse zu veröffentlichen.
🔗 Referenz:
https://zhauniarovich.com/publication/2024/kloeg2024charting/