Im Jahr 2023 wird die Software-Stückliste („SBOM“) weiterhin die Diskussionen im Zusammenhang mit Softwareoffenlegung und -sicherheit dominieren. Obwohl es alternative Ansätze für Softwareoffenlegungen gibt, wurde die SBOM von einer von der National Telecommunications and Information Administration (NTIA) geleiteten Multistakeholder-Gruppe in einem mehrjährigen Prozess geprüft und gilt daher als angemessen und wirksam zur Reduzierung von Cybersicherheitsrisiken in Maschinengeschwindigkeit. Es könnte sich lohnen, einen tieferen Blick darauf zu werfen, um zu verstehen, warum das so ist.
CVE und NVD
Seit 1999 verwaltet MITRE eine Liste öffentlich bekannt gewordener Cybersicherheits-Schwachstellen unter Verwendung speziell zugewiesener IDs, genannt Common Vulnerability Enumeration („CVE“).
CVEs decken eine Vielzahl von Hardware, Software und deren Komponenten ab, wie z. B. CVE-2013-4632: Denial-of-Service-Schwachstelle in Huawei Access Router (AR), CVE-2022-30190: Schwachstelle für Remotecodeausführung im Support-Diagnosetool für Microsoft Windows (MSDT) und CVE-2022-44054: eine potenzielle Code-Backdoor im d8s-xml-PyPI-Paket.
Sicherheitsforscher suchen kontinuierlich nach neuen Schwachstellen in öffentlich zugänglichen Software- und Hardwareprodukten und erfassen diese mittels CVE, damit sie von den Entwicklern dieser Produkte behoben werden können.
Die CVE-Liste von MITRE umfasst auch die National Vulnerability Database („NVD“), eine Datenbank der US-Regierung für standardbasierte Schwachstelleninformationen. Die NVD basiert auf der CVE-Liste von MITRE und ist vollständig mit dieser synchronisiert.
Dieses Ökosystem ermöglicht es, jedes Produkt und jede Version in der NVD auf alle bekannten Schwachstellen hin zu überprüfen. Diese Zuweisung von Schwachstellen zu Produktnamen/-versionen ist seit fast zwei Jahrzehnten das Fundament von Programmen zum Schwachstellenmanagement.
Doch natürlich gibt es dabei eine Herausforderung.
Software-Lieferkette
Moderne Hardware und Software werden selten von Grund auf neu entwickelt. Eine typische Anwendung besteht aus vorgefertigten Open-Source- oder kommerziellen Komponenten von Drittanbietern. Beispielsweise enthält das iPhone 14 Displaypanels von Samsung, Bildsensoren von Sony sowie Komponenten von Qualcomm, Broadcom und Skyworks, während die Anwendung Solarwinds Network Configuration Manager (NCM) unter anderem ActiveSkin, UltraToolBars und Log4Net enthält.
Quelle: https://www.therussianstore.com/blog/the-history-of-nesting-dolls/
Die Komponenten können von Unterkomponenten abhängen, die von einer weiteren Ebene von Open-Source- oder kommerziellen Anbietern bereitgestellt werden. Log4Net verwendet eine andere Open-Source-Bibliothek, qs, für das Parsen von Abfragen.
Diese Abhängigkeitskette von kommerziellen oder Open-Source-Komponenten kann die Suche nach Schwachstellen weniger effektiv machen. Wenn die Zusammensetzung von SolarWinds NCM nicht bekannt ist, kann eine Suche nach dem Produktnamen – Network Configuration Manager – die zugrunde liegenden Schwachstellen von qs aufgrund der verschachtelten Abhängigkeiten (NCM enthält Log4Net, das wiederum qs enthält) nicht aufdecken.
Dies ist die grundlegende Herausforderung bei der Absicherung von Software mit unbekannter Zusammensetzung, und die SBOM ist im Kern ein Versuch, dieses Problem zu lösen.
In Teil 2 – Wie die SBOM programmierbare Komponenten zerlegt und darstellt, um deren Compliance- und Sicherheitsrisiken genau zu bewerten.