CycloneDX ist eine der drei SBOM-Spezifikationen, die von NTIA/CISA empfohlen werden.
Das CycloneDX-Team hat am 26. Juni seine neueste Version - 1.5 - veröffentlicht. Diese Version enthält Funktionen, die neue SBOM-Anwendungsfälle abdecken und bestehende Funktionen erweitern.
Lassen Sie uns einen genaueren Blick darauf werfen.
xBOM-Erweiterung
Quelle: CycloneDX-Funktionen
CycloneDX ist bekannt für seine Flexibilität, eine Vielzahl von BOM-Typen wie SBOM, SaaSBOM und HBOM zu unterstützen. CycloneDX 1.5 erweitert die Anwendungsfälle in vier Richtungen:
ML-BOM: SBOM für Anwendungen, die maschinelles Lernen nutzen
MBOM: Klassische Stückliste als CycloneDX neben Prozessen und Prüfungen
KBOM: SBOM für Kubernetes-Cluster
SBOM für Low-Code-Anwendungen
ML-BOM
Diese Version unterstützt die Erstellung einer Machine Learning Bill of Materials (ML-BOM) als CycloneDX-Dokument. Mit Version 1.5 kann CycloneDX dabei helfen, Modelle für maschinelles Lernen und Datensätze als Teil der SBOM-Komponenten zu dokumentieren. ML-BOM-Dokumente können dabei helfen, die Methoden, Einschränkungen und damit verbundenen Anliegen des Modells, wie ethische KI oder Datenschutz, zu dokumentieren und zu teilen.
In der Spezifikation werden ML-BOM-Funktionen erstellt, indem machine-learning-model und data zum type des Komponenten-Knotens von CycloneDX 1.4 hinzugefügt werden. Die Spezifikation enthält auch in externalReferences den neuen Typ model-card. Diese Referenz beschreibt die beabsichtigte Verwendung eines maschinellen Lernmodells, potenzielle Einschränkungen, Verzerrungen, ethische Erwägungen, Trainingsparameter und andere ML-Transparenzdaten.
MBOM
Diese Version kann beschreiben, wie ein Produkt hergestellt wird, was als Manufacturing Bill of Materials (MBOM) bezeichnet wird. Dies ist eine Verbesserung gegenüber der klassischen Stückliste (Liste der Fertigungskomponenten), da das MBOM neben den Komponenten alle Teile umfasst, einschließlich Hardware, Firmware, Software, Prozesse und Prüfungen.
MBOM-Funktionen beinhalten die Aufnahme neuer Typen in den Knoten components:
platform
device-driverdata
MBOM verwendet auch den neu eingeführten Knoten formulation, um zu beschreiben, wie eine Komponente oder ein Dienst hergestellt oder bereitgestellt wurde. Dieser Knoten unterstützt die Aufnahme von Details für Formeln, Aufgaben, Schritte und alle Dienste. Darüber hinaus kann jede Komponente auch ihre eigene Formulierung angeben, was eine rekursive Formulierung über den gesamten Erstellungsprozess hinweg ermöglicht.
Schließlich werden die Typen für externalReferences um neue Typen für evidence, formulation, quality-metrics und codified-infrastructure erweitert.
KBOM
Der Open-Source-Sicherheitsscanner Trivy von Aqua verwendet CycloneDX 1.5, um die Kubernetes Bill of Materials (KBOM) zu generieren. KBOM kann verwendet werden, um die Zusammensetzung eines Clusters, Manifeste von Komponenten, Versionen und Images zu dokumentieren.
Quelle: Einführung von KBOM — Kubernetes Bill of Materials
KBOM verwendet CycloneDX 1.5, um den Cluster in die logischen Einheiten „Control Plane“, „Nodes“ und „Addons“ zu unterteilen – was eine Offline-Analyse des Clusters sowie dessen Schwachstellen- und Sicherheitsüberwachung ermöglicht.
SBOM für Low-Code-Anwendungen
Die Komplexität von Low-Code-Anwendungen verbirgt sich hinter Low-Code-Plattformen. Diese Version von CycloneDX ermöglicht es einer Low-Code-Plattform, den Status jeder Anwendung separat zu dokumentieren.
Funktionserweiterung
Quelle: OWASP Authoritative Guide to SBOM: Lifecycle Phases
CycloneDX 1.5 verbessert die bestehende Abdeckung von SBOM mit spezifischen Verbesserungen bei der Dokumentation von:
SDLC-Lebenszyklusphase für die SBOM-Erstellung
Kommerzielle Lizenzen
BOM-Reifegradmodell
SBOM-Qualität
Bekannte Unbekannte in Komponenten
Proof of Concept für Schwachstellen
Lebenszyklusphase
CycloneDX definiert sieben Lebenszyklusphasen: Design, Pre-Build, Build, Post-Build, Operations, Discovery und Decommission. Darüber hinaus kann dasselbe Feld verwendet werden, um eine benutzerdefinierte Lebenszyklusphase zusammen mit der Beschreibung einer solchen Phase zu definieren. Der Authoritative Guide to SBOM bezeichnet den Lebenszyklus als nützlich für das Software Asset Management (SAM) und IT Asset Management (ITAM). Vordefinierte Lebenszyklusphasen zeigen die SBOM-Dokumenttypen der CISA basierend auf dem Zeitpunkt der Erstellung.
CycloneDX 1.5 enthält den Lebenszyklus als Teil des metadata-Knotens, der zuvor Zeitstempel, Tools, Lieferanten, Lizenzen und Autoren enthielt.
Kommerzielle Lizenzen
Diese Version bietet auch Unterstützung für die Dokumentation kommerzieller Lizenzen in der SBOM. Dies bietet, zusammen mit der aus CycloneDX 1.4 übernommenen Unterstützung für Open-Source-Lizenzen, einen robusten Mechanismus zur Dokumentation aller Lizenzen innerhalb eines Produkts. Das Lizenzmanagement, einschließlich der Verfolgung von Lizenznutzung, Verlängerungen und potenziellen Verstößen, ermöglicht es der SBOM, SAM- und ITAM-Anforderungen zu erfüllen.
Quelle: Commercial License Expression in CycloneDX 1.5
BOM-Reifegradmodell
Der OWASP Software Component Verification Standard (SCVS) bewertet den Reifegrad der Software-Lieferkette eines Unternehmens. Die drei Stufen des SCVS ermöglichen die Bewertung von Inventar, SBOM, Build-Umgebung, Paketverwaltung, Komponentenanalyse & Herkunft sowie Provenienz von Komponenten.
Das aus SCVS abgeleitete BOM-Reifegradmodell ermöglicht die Bewertung von SBOMs anhand vordefinierter Richtlinien. Eine solche Bewertung kann den SBOM-Generatoren wie SBOM-Tools oder Komponentenherstellern Feedback geben.
SBOM-Qualität
Quelle: Commercial License Expression in CycloneDX 1.5
Der Authoritative Guide to SBOM beschreibt alle neuen Funktionen von CycloneDX 1.5. Dasselbe Dokument etabliert die SBOM-„Qualität“ als ein mehrdimensionales Konstrukt für Breite, Tiefe, Lebenszyklen, Techniken und Vertrauen.
Die Felder lifecycle und evidence spielen eine Schlüsselrolle bei der Spezifizierung der Qualität der SBOM. evidence bietet die Möglichkeit, Beweise zu dokumentieren, die durch verschiedene Formen der Extraktion oder Analyse gesammelt wurden.
Innerhalb der CycloneDX-Spezifikation wird evidence im Knoten components > evidence pro Komponente erfasst. Die Werte können das Vertrauen in den Beweis, die verwendeten Tools und den Callstack für den Beweis umfassen.
Bekannte Unbekannte für Komponenten
Quelle: Authoritative Guide to SBOM
CycloneDX 1.5 verbessert die Erfassung der Vollständigkeit von SBOMs durch die Einführung neuer Felder im Knoten compositions > aggregate, um die Vollständigkeit von Erst- und Drittanbieter-, proprietären und Open-Source-Komponenten zu verdeutlichen.
Proof of Concept für Schwachstellen
Die Offenlegung und das Management von Schwachstellen wurden mit CycloneDX 1.5 ebenfalls verbessert. Die Spezifikation erlaubt die Erfassung des Knotens proofOfConcept unter Vulnerabilities, der Reproduktionsschritte, die Umgebung und unterstützendes Material für jeden bekannten Proof of Concept erfassen kann.
Der Knoten vulnerabilities unterstützt auch die Erfassung von rejected als Datum und Uhrzeit (Zeitstempel), zu der der Schwachstelleneintrag abgelehnt wurde (falls zutreffend).
CycloneDX schreitet weiter voran, um die Abdeckung der SBOM zu verbessern und die Art und Weise zu optimieren, wie die Daten interpretiert und verwendet werden.