Die National Security Agency (NSA) hat ihre „Recommendations for Software Bill of Materials (SBOM) Management“ (Empfehlungen für das Management von Software-Stücklisten) herausgegeben.
Das Dokument empfiehlt die Nutzung von SBOM zur Entscheidungsfindung im Risikomanagement, Schwachstellenmanagement und Vorfallmanagement. Um diese Ziele zu erreichen, beschreibt das Dokument die Funktionen eines idealen SBOM-Managementsystems.
Die Interlynk-Plattform wurde speziell für diese Anwendungsfälle entwickelt und ist somit eine umfassende Lösung für alle empfohlenen Funktionen.
Hintergrund
Die National Security Agency (NSA) hat das Cybersecurity Information Sheet (CSI) mit dem Titel „Recommendations for Software Bill of Materials (SBOM) Management“ veröffentlicht.
Dieses CSI bietet Netzwerkbesitzern und -betreibern Anleitungen für die Einbindung der SBOM-Nutzung zum Schutz der Cybersicherheits-Lieferkette, mit einem Fokus auf und zusätzlichen Leitlinien für National Security Systems (NSS).
Dieses Dokument wurde im Rahmen einer Initiative zum Cybersecurity Supply Chain Risk Management (C-SCRM) durch die Evaluierung verschiedener SBOM-Tools entwickelt. Daher repräsentiert es die besten Funktionen von SBOM-Tools.
Empfohlene SBOM-Funktionen
✅ = Integriert in die Interlynk-Plattform
SBOM-Eingabe & -Ausgabe
SBOM-Eingabe
Empfohlene Funktionen
✅ CycloneDX 1.4 oder neuer, SPDX 2.1 oder neuer
✅ JSON-, XML- und CSV-Import
✅ SBOM-Struktur- und Syntaxprüfungen
✅ Benachrichtigung des Benutzers über die Einhaltung der relevanten Struktur und Syntax der SBOM
✅ Beinhaltet eine Autokorrektur-Option zur Unterstützung des Benutzers
Interlynk-Funktionen
Interlynk unterstützt CycloneDX 1.4 oder neuer, SPDX 2.1 oder neuer als Dateien in den Formaten JSON, XML, RDF, Tag-Value und CSV-Import. Die Plattform identifiziert die häufigsten Fehler in der importierten SBOM, nimmt eine Qualitätsbewertung vor, zeigt den Benutzern alle Ergebnisse an und lässt sie den Import steuern. Dieser Prozess kann für zukünftige SBOM-Imports vom selben Anbieter oder derselben Pipeline automatisiert werden.
SBOM-Ausgabe
Empfohlene Funktionen
✅ Export von SBOMs im CDX- oder SPDX-Format
✅ Export von SBOMs als JSON- oder XML-Dateien
✅ Konvertierung eines SBOM-Dateityps in einen anderen
✅ Konvertierung einer SBOM-Datei in eine andere
✅ Aggregation mehrerer SBOMs zu einer einzigen SBOM
Interlynk-Funktionen
Interlynk kann zwischen CycloneDX- und SPDX-SBOMs interagieren und diese in JSON und XML mit oder ohne Schwachstellendaten exportieren. Die SBOMs von Anbietern können mithilfe von Funktionen zur SBOM-Assemblierung verknüpft oder in eine Produkt-SBOM zusammengeführt werden.
SBOM-Erstellung & Komponenten-Handling
Erstellung von SBOMs
Empfohlene Funktionen
✅ Erstellung von SBOMs aus verschiedenen Arten von Ergebnissen des Softwareentwicklungsprozesses (z. B. aus einer Software-Build-Umgebung, aus der Analyse einer Binärdatei, aus einer Systemregistrierungsabfrage usw.).
Interlynk-Fähigkeiten
Interlynk kann SBOMs aus allen modernen CI/CD-Pipelines und SBOM-Speichern über Plattform-Anfragen oder den Direktimport importieren. Interlynk hat außerdem Funktionen entwickelt, um SBOMs von Grund auf für eine Vielzahl von Build-Systemen zu erstellen, einschließlich älterer C/C++-Builds ohne Paketmanager.
Umgang mit SBOM-Komponenten
Empfohlene Funktionen
✅ Anzeige der NTIA-Mindestfelder für SBOMs (Lieferantenname, Komponentenname, eindeutiger Komponentenbezeichner (CPE, PURL)/Hash, Komponentenversion, Komponenten-Abhängigkeitsbeziehung, Komponenten-Autor) für jede Komponente.
✅ Anreicherung von SBOM-Informationen unter Nutzung zusätzlicher Referenzquellen. Idealerweise sollten visuelle Hinweise darauf hinweisen, dass externe Informationen zur Anreicherung der SBOM-Daten verwendet wurden, und die Quell-Websites der Anreicherungsdaten referenziert werden.
✅ Mechanismen zur grafischen Darstellung von Komponenten-Abhängigkeiten beinhalten.
✅ Anzeige von Informationen zur Herkunft (Provenance) von Komponenten, einschließlich externer Anreicherungen.
Interlynk-Fähigkeiten
Interlynk identifiziert und ermöglicht die Bearbeitung aller NTIA-Mindestfelder für SBOMs, einschließlich der Beziehungen der Komponenten zueinander. Die Plattform erkennt häufige Fehler bei der Produktbenennung und -identifizierung und zieht zusätzliche Metadaten aus öffentlich zugänglichen Quellen heran, um Korrekturen vorzuschlagen.
Validierung & Schwachstellen-Tracking
Validierung der SBOM- und SBOM-Komponentenintegrität
Empfohlene Funktionen
✅ Erfassung und Anzeige von Hash-Informationen für jede Komponente. Idealerweise sollte diese Validierung eine digitale Signatur für die SBOM und Herkunftsdaten für jede Komponente sowie den Komponenten-Hash und einen PURL- oder CPE-Zeiger bereitstellen.
✅ Links zu Informationsquellen einfügen, aus denen Herkunftsdaten gesammelt wurden (unterstützt die Möglichkeit, die Integrität zu überprüfen und Risiken zu bewerten).
Interlynk-Funktionen
Interlynk erstellt ein Repository von Hashes für gängige, öffentlich verfügbare Komponenten und kennzeichnet SBOMs mit „verifizierten“ oder „unverifizierten“ Komponenten. Interlynk bietet außerdem die Möglichkeit, eine ausgehende SBOM kryptografisch zu signieren oder die Signatur einer eingehenden SBOM zu überprüfen.
Verfolgung und Analyse von Schwachstellen
Empfohlene Funktionen
✅ Tägliche Updates aus der National Vulnerability Database (NVD) und anderen Schwachstellendaten bereitstellen. Idealerweise sollten diese Updates kontinuierliche Auszüge und Analysen aus zugehörigen Diensten für Cyber-Bedrohungsdaten (CTI) und SBOM-Datenanreicherung bereitstellen.
✅ Benutzer über neue Schwachstellen und Updates benachrichtigen, einschließlich Warnungen vor neu auftretenden kritischen Schwachstellen und deren Schweregrad. Idealerweise sollten diese Benachrichtigungen klar zwischen einer neuen Schwachstelle und einem Update einer bestehenden Schwachstelle unterscheiden und zusätzliche Informationen zur Priorisierung von Reaktionen auf Schwachstellen zusammen mit Anleitungen zur Risikominderung bereitstellen.
👨🏽💻 Integration verschiedener Quellen von Bedrohungsdaten zusätzlich zu den verschiedenen Software-Schachstellen-/Schwachpunktdatenbanken.
👨🏽💻 Bereitstellung einer flexiblen Richtlinien-Engine, einschließlich der Möglichkeit, organisationsspezifische Richtlinienregeln anzuwenden und zu aktualisieren. Idealerweise sollte diese Anpassung die Integration von Bedrohungsdaten als Richtlinienregeln ermöglichen.
✅ Bereitstellung mehrerer Möglichkeiten zur Identifizierung und Erforschung der Existenz einer neu auftretenden Schwachstelle im SBOM-Repository/Asset-Inventar des Benutzers. Idealerweise sollten damit bestimmte Netzwerke oder Endpunkte, die die von einer neu entdeckten Schwachstelle betroffene Software und Konfigurationen enthalten, schnell identifiziert werden.
✅ Unterstützung und Nachverfolgung der Rechtzeitigkeit von Schwachstellenbehebungen (einschließlich Konfigurationsmanagement/Rückverfolgbarkeit zu einer neuen SBOM, um die betroffene, ersetzte Software von der behobenen/gehärteten Ersatzsoftware zu unterscheiden).
Interlynk-Funktionen
Das Schwachstellenmanagementsystem von Interlynk in SBOMs basiert auf sich kontinuierlich aktualisierenden Daten aus mehreren Quellen, darunter NVD und KEV. Eine Statusänderung bei SBOM-Schachstellen kann für anpassbare Benachrichtigungen über mehrere Integrationen hinweg genutzt werden — E-Mail, Slack, JIRA und mehr. Interlynk baut eine Richtlinien-Engine auf, mit der spezifische Richtlinien für den Software-Build oder die Beschaffungserwartungen aus der rechtlichen und Sicherheits-Risikoanalyse festgelegt werden können. Die Schwachstellen können statischen oder bereitgestellten Assets zugeordnet werden, was eine Benachrichtigung nahezu in Echtzeit ermöglicht, wenn sie von einer neu veröffentlichten Schwachstelle betroffen sind. Die Schwachstellen-Metadaten ermöglichen zusammen mit den Software-Metadaten die Verfolgung von Metriken, die für verschiedene Compliance-Anforderungen geeignet sind, einschließlich der FDA.
Unterscheidung zwischen identifizierten und ausnutzbaren Schwachstellen
Empfohlene Funktionen
Geben Sie an, ob eine Schwachstelle tatsächlich ausnutzbar ist, und unterstützen Sie dies mit begleitenden Belegen und Rechtfertigungen für Behauptungen über Nicht-Ausnutzbarkeit. Idealerweise sollte das Programm Informationen über die Ausnutzbarkeit einer Komponentenschwachstelle unter Verwendung des Vulnerability Exploitability eXchange (VEX)-Formats annotieren und aktualisieren.
Interlynk-Funktionen
Interlynk verfolgt den Status jeder Schwachstelle über Produkte und deren Versionen hinweg. Der von der CISA empfohlene VEX-Status ist mit CycloneDX- und OpenVEX-Ausgabe direkt in die Plattform integriert. Der VEX-Status wird gegebenenfalls über alle Produktversionen hinweg übernommen und kann zur externen Überprüfung als PDF oder CSV exportiert werden.
Benutzeroberfläche & Berichtswesen
Benutzeroberfläche
Empfohlene Funktionen
✅ Richtlinien für die Mensch-Computer-Interaktion (HCI-Standards) einhalten.
Barrierefreiheitsfunktionen integrieren.
✅ Mechanismen bereitstellen, die die Bewertung von Informationen erleichtern und es dem Benutzer bei Bedarf ermöglichen, mühelos tiefer einzusteigen (häufig durch Bewegen des Cursors über Symbole oder Klicken auf Symbole mit Links), um die nächste Detailebene anzuzeigen.
✅ Leicht verständliche grafische Darstellungsmethoden und -formate bereitstellen, um Informationsattribute zu Softwarekomponenten, Schwachstellen, Lizenzen, Lieferantenorganisationen, Benutzern und Benutzerorganisationen zu vermitteln.
✅ Mehrere Möglichkeiten zum „Drill-Down“ anbieten, um zusätzliche Informationen zu Herkunft, Schwachstellen, Lizenzen und Risikostatus von Softwarekomponenten zu erhalten.
✅ Mittel zur Erstellung strukturierter Gruppierungen oder Kategorien von SBOMs bereitstellen, um die Asset-Verfolgung, das Schwachstellenmanagement, das Vorfallsmanagement usw. zu erleichtern.
✅ Die Möglichkeit bieten, SBOM-Informationen nach benutzerdefinierbaren Attributen zu filtern/sortieren/gruppieren (wie z. B. nach Software-/BOM-Typ, Software-/BOM-Quelle, Software-/BOM-Ansprechpartner; Komponententyp, Komponentenpaket, Komponentenalter, Komponentenversionen, Sicherheitstrend; Schweregrad der Schwachstelle, Anzahl der Schwachstellen sowie Organisationsebene, Lizenztyp, Verletzung).
Interlynk-Funktionen
Das minimalistische Dashboard-Design von Interlynk konzentriert sich darauf, die richtigen Informationen zur richtigen Zeit bereitzustellen. Die zugrunde liegenden Daten sind in vielen Ebenen organisiert, von Komponenten und ihren Quellen über Ökosysteme, Produktteile und Produktversionen bis hin zu Produkt-Pipelines. Jede Kontextseite verfügt über eigene Such- und Filterfunktionen, und die Benutzeroberfläche konzentriert sich darauf, eine gefährdete Komponente allen davon betroffenen Produkten und Lieferketten zuzuordnen.
Ausgabeformen und -methoden
Empfohlene Funktionen
✅ Standardisierte Berichte zu Komponentenattributen, Schwachstelleninformationen, Lizenzinformationen und Komponentenlieferanteninformationen ausgeben.
✅ Abhängigkeitsinformationen im Grafik- und/oder Textformat exportieren.
✅ Grafische Darstellungen von Analyseergebnissen ausgeben.
✅ Idealerweise eine modulare Möglichkeit bieten, bestimmte Texte und Grafiken (sei es aus der SBOM selbst oder aus Analyse- und Verbesserungsprozessen abgeleitet) für die Verwendung in der externen Kommunikation zu exportieren.
Interlynk-Funktionen
Die Interlynk-Plattform ist als GraphQL-Abonnement-API mit intuitiven, skalierbaren Schemata konzipiert, die von jedem Client sofort verwendet werden können. Die SBOM-Verarbeitungs-Engine von Interlynk sucht nach wiederkehrenden Mustern in SBOMs über verschiedene Produktversionen hinweg und ermöglicht bei Bedarf Analysen sowie ein „SBOM-Patching“.
Versionierung, Integration & Datenquellen
SBOM-Versionierung und Konfigurationsmanagement-Unterstützung
Empfohlene Funktionen
✅ Enthalten einer skalierbaren Konfigurationsmanagement-Funktion für SBOMs. Diese sollte mindestens Mechanismen zur Organisation von SBOMs, zur Pflege des Versionsverlaufs und zur Verfolgung von Änderungen an SBOMs/Software umfassen.
✅ Enthalten von benutzerdefinierbaren Mechanismen zur Organisation von SBOMs nach mehreren Informationsattributen (wie Organisation, Softwarehersteller, Softwaretyp, BOM-Typ, Lizenztyp usw.).
✅ Enthalten einer Trendgrafik, die die Anzahl der Schwachstellen für jede Schweregradstufe über jede Komponentenversion hinweg anzeigt und meldet, ob die Anzahl der Komponentenschwachstellen mit jeder Versionsfreigabe zunimmt oder abnimmt.
👨🏽💻 Vergleichen von SBOM-Versionen für dieselbe Software und Hervorheben von Unterschieden (wie z. B. durch unterschiedliche Komponenten oder unterschiedliche Komponentenversionen, unterschiedliche Quellen usw.).
Interlynk-Fähigkeiten
Die Interlynk-Plattform ist als GraphQL-Subscriptions-API mit intuitiven, skalierbaren Schemata aufgebaut, die von jedem Client sofort nutzbar sind. Die SBOM-Verarbeitungs-Engine von Interlynk sucht nach wiederkehrenden Mustern in SBOMs über Produktversionen hinweg und ermöglicht bei Bedarf Analysen und „SBOM-Patching“.
Integration und Workflow mit anderen Systemen
Empfohlene Funktionen
✅ Nutzen eines „API First“-Designs, um den Import und Export von Informationen mit anderen Systemen zu erleichtern. Idealerweise sollten Informationselemente innerhalb des Tools einzeln exportierbar/herunterladbar sein.
✅ Integrieren mit mehreren Arten von SBOM-Quellen und anderen Daten, die für Analysezwecke kombiniert werden können.
✅ Nutzen von formatunabhängigen, unabhängigen, zustandslosen und skalierbaren API-Funktionen (wie REST), um Prozesse/Workflows zu automatisieren.
✅ Unterstützen eines sicheren, integrierten Produzenten-/Konsumenten-Austausch-Ökosystems.
Interlynk-Fähigkeiten
Die Interlynk-Plattform ist als GraphQL-Subscriptions-API mit intuitiven, skalierbaren Schemata aufgebaut, die von jedem Client sofort nutzbar sind. Die SBOM-Verarbeitungs-Engine von Interlynk sucht nach wiederkehrenden Mustern in SBOMs über Produktversionen hinweg und ermöglicht bei Bedarf Analysen und „SBOM-Patching“.
Unterstützung des Zugriffs auf Datenquellen
Empfohlene Funktionen
👨🏽💻 Integrieren von KI/ML-Engines und zugehörigen „Data Lakes“, die SBOM-Komponenteninformationen mit verschiedenen Arten von Bedrohungssignaturen und -mustern abgleichen.
✅ Enthalten einer aktualisierbaren Bibliothek für Open-Source-Softwarelizenzen, die das SBOM-Management-Tool identifiziert und gegebenenfalls nachverfolgt.
Interlynk-Fähigkeiten
Die Plattform baut eine Bibliothek der verwendeten Open-Source-Lizenzen und kommerziellen Lizenzen auf und trennt diese in aktive und inaktive Kategorien, wenn sich das EOL der Software nähert. Die Plattform untersucht derzeit den Einsatz einer ML-Engine für den Abgleich von Schwachstellen.
Architektur, Einrichtung & abschließende Hinweise
Skalierbare Architektur
Empfohlene Funktionen
✅ Mechanismen zur Unterstützung eigenständiger Unterorganisationen innerhalb eines Unternehmens enthalten, die unterschiedliche Risikotoleranzregeln oder -richtlinien haben können.
Andere Arten von SBOMs verarbeiten.
✅ Teil einer Tool-Suite sein oder diese unterstützen, die zusammenarbeiten, um Aktivitäten im Risikomanagement, Schwachstellenmanagement und Vorfallsmanagement zu bewältigen.
Interlynk-Fähigkeiten
Interlynk wurde speziell für Unternehmen mit mehreren Einheiten entwickelt und unterstützt RBAC, Produktgruppierungen sowie die Trennung von Richtlinien und Kontrollen nach Produktgruppen. Die Plattform wurde API-first entwickelt und hat mehrere Integrationen auf ihrer Roadmap.
SBOM-Tool-Einrichtung und -Konfiguration
Empfohlene Funktionen
✅ Mechanismen und unterstützende Materialien bereitstellen, um das Tool in Linux- oder Microsoft-Umgebungen einfach herunterzuladen, einzurichten und zu integrieren. Idealerweise sollte es beide Umgebungen unterstützen.
Interlynk-Fähigkeiten
Interlynk ist als Software-as-a-Service-Plattform verfügbar, wobei eine containerisierte On-Premises-Lösung auf der Roadmap steht.