Software-Stücklisten (Software Bill of Materials – SBOM) ermöglichen es Organisationen, Schwachstellen zu identifizieren, die Nutzung von Open-Source-Software zu verfolgen und die Einhaltung von Vorgaben sicherzustellen.
Jede Branche und ihre jeweiligen Gewohnheiten bei der Softwareerstellung und -nutzung können jedoch eigene branchenspezifische Anforderungen haben.
Die Telekommunikationsbranche hat dies erkannt, und im Mai 2021 wurde die OpenChain Telco-Arbeitsgruppe ins Leben gerufen, um den einzigartigen Anforderungen der Branche an SBOMs gerecht zu werden.
Unterstützt durch die Beteiligung von Branchenriesen wie Ericsson, Nokia, Huawei, KDDI Corporation, Fujitsu, Toshiba, Sony, Bosch und anderen hatte die Arbeitsgruppe das Ziel, ein bestimmtes SBOM-Datenformat zu empfehlen, Schlüsselfelder in diesem Format zu identifizieren sowie Kriterien für die Weitergabe von SBOMs festzulegen.
Die OpenChain-Arbeitsgruppe hat den SBOM-Leitfaden Version 1.0 veröffentlicht, der darauf abzielt, einen Konsens für eine qualitativ hochwertige Software-Stückliste (SBOM) zu schaffen.
Anforderungen
Spezifikationen
SPDX 2.2 (überprüft gegen SPDX 2.2.1)
SPDX 2.3
Dateiformate
Tag:Value
JSON
Erforderliche Elemente
Informationen zur Dokumentenerstellung
SPDXVersion: obligatorisch in SPDX
DataLicense: obligatorisch in SPDX
SPDXID: obligatorisch in SPDX
DocumentName: obligatorisch in SPDX
DocumentNamespace: obligatorisch in SPDX
Creator: obligatorisch in SPDX (Siehe SBOM-Build-Informationen unten)
Created: obligatorisch in SPDX
CreatorComment: um SBOM-Build-Informationen angeben zu können (Siehe unten)
SBOM-Build-Informationen
Das Feld
Creatormuss einenOrganization-Wert enthaltenDas Feld
Creatormuss einenTool-Namen und seine Version enthaltenDas Feld
CreatorCommentmuss SBOMType-Informationen enthalten, wie von der CISA definiert
Paketinformationen
PackageName: obligatorisch in SPDX
SPDXID: obligatorisch in SPDX
PackageVersion: erforderlich für „NTIA SBOM Mindestelemente“
PackageSupplier: erforderlich für „NTIA SBOM Mindestelemente“
PackageDownloadLocation: obligatorisch in SPDX
PackageChecksum: empfohlen von „NTIA SBOM Mindestelemente“
PackageLicenseConcluded: obligatorisch in SPDX
PackageLicenseDeclared: obligatorisch in SPDX
PackageCopyrightText: obligatorisch in SPDX
ExternalRef: um die Paket-URL angeben zu können
Umfangsinformationen
Muss alle Open-Source-Komponenten einschließlich transitiver Komponenten enthalten
Sollte alle kommerziellen Komponenten enthalten
Muss alle „bekannten unbekannten“ Komponenten enthalten
Beziehungsinformationen
Beziehungen: bei DESCRIBES und CONTAINS, erforderlich für „NTIA SBOM Mindestelemente“
Zeitpunkt der SBOM-Bereitstellung
Muss die SBOM spätestens zum Zeitpunkt der Bereitstellung der Software (entweder in Binär- oder Quellcodeform) bereitgestellt werden.
Methode der SBOM-Bereitstellung
Im Softwarepaket einbetten (falls machbar) ODER
Web-gehostete Version zum Kopieren und Speichern für mindestens 18 Monate verfügbar machen (falls nicht machbar)
SBOM-Verifizierung
Empfohlen, eine digitale Signatur der SBOM einzuschließen, um die Integrität der SBOM zu gewährleisten
SBOM-Zusammenführung
Eine konforme SBOM kann aus mehreren SBOM-Dateien unter Verwendung von SPDX-Beziehungen erstellt werden
Interlynk für OpenChain Telco SBOM-Konformität
Interlynk bietet das quelloffene Multi-Spezifikations-Utility sbomqs an, das weithin für die Qualität und Konformität von SBOMs mit den NTIA-Mindestelementen und BSI TR-03183-2 verwendet wird. Wir haben diese Funktion erweitert, um auch Berichte zur OpenChain Telco-Konformität zu erstellen.
sbomqs kann nun sowohl einfache als auch detaillierte Berichte im Tabellen- und JSON-Format generieren.
Einfacher Bericht
Tabellarischer Bericht
JSON-Bericht