Die Software-Stückliste (Software Bill of Materials, SBOM) verändert die Art und Weise, wie Software-Compliance und Sicherheitsrisiken beschrieben, organisiert, geteilt und überwacht werden. Seit fast einem Jahrzehnt gibt es SBOM in irgendeiner Form für begrenzte Anwendungsfälle. Als die NTIA im Jahr 2017 nach einer Methode zur Schaffung von Software-Transparenz suchte, stieß sie daher auf eine engagierte und visionäre Community rund um SBOM.
Diese Woche trafen sich die ursprünglichen SBOM-Praktiker live und virtuell auf der von der CISA organisierten Veranstaltung — SBOM-a-RAMA — mit neueren SBOM-Anwendern. Dies war ein Tag des Austauschs von Updates, Erfolgsgeschichten und Herausforderungen sowie der Wegbereitung für die Zukunft. Die Veranstaltung wurde vom unermüdlichen Dr. Allan Friedman — Senior Advisor bei der CISA — moderiert.
Auf regulatorischer Seite wurde SBOM-a-RAMA von der CISA unter Beteiligung der FDA und NTIA aus den USA, der Europäischen Kommission aus der EU sowie des METI aus Japan veranstaltet.
Auf kommerzieller Seite war die Veranstaltung unter anderem durch Google, Amazon, Microsoft, SAP, Oracle, ServiceNow, VMWare, Hitachi, AT&T, Medtronic und das NY-Presbyterian Hospital vertreten. Natürlich waren auch die Gründer von Intelrynk persönlich vor Ort, und wir haben einige interessante Fakten der Veranstaltung live hier getwittert.
Wichtigste Erkenntnisse:
Der EU Cyber Resilience Act (CRA) befindet sich derzeit in der Ausschussabstimmung. Der CRA wird sich für die SBOM-Anforderungen voraussichtlich an einem internationalen Format orientieren.
Der CRA wird voraussichtlich „Marktüberwachungsbehörden“ dazu ermächtigen, SBOMs einzufordern, wird aber voraussichtlich keine Veröffentlichung von SBOMs verlangen.
Die SBOM-Evaluierung des METI läuft derzeit, und eine endgültige Empfehlung wird voraussichtlich 2024 in Kraft treten.
Auto-ISAC verfügt über einen reinen Mitgliederausschuss für SBOM, weshalb nicht alle Informationen geteilt werden können. In dieser Gruppe ist jedoch ein Unternehmenswert von 1,5 Billionen Dollar vertreten.
Die Arbeitsgruppe „SBOM Cloud Adoption“ wird empfehlen, dass SaaSBOM eine „Bill of Services“ (von Drittanbietern abhängige APIs und Dienste – dies ist nur mit CycloneDX möglich) enthalten sollte.
Die CISA sucht nach einer Möglichkeit, die Konformität mit M-22–18 (Selbstauskunft) mit der SBOM-Konformität zu verknüpfen.
Als Erfolgsbeispiel berichtete ein Teilnehmer, dass die Schulungsprogramme für seine Vorstandsmitglieder auch Schulungen zu SBOM-Anforderungen umfassten. Ein anderer Teilnehmer berichtete, dass die Überprüfung der SBOMs fester Bestandteil der Vorstandstagesordnung seines Unternehmens ist.
Vertreter von Medizinprodukteherstellern scheinen unsicher zu sein, wie sie Schwachstellen offenlegen sollen. Eine Organisation berichtete, dass sie SBOMs in „Microsoft Word“-Dokumenten erhält und daher damit zu kämpfen hat. Die FDA-Richtlinie steht noch aus, während die Frist der 1. Oktober ist.
Die CISA erwähnte, dass „bald“ einige große Ankündigungen von Anbietern anstehen, die die Nutzung und Einführung von SBOMs voraussichtlich beschleunigen werden. Es handelt sich um riesige börsennotierte Unternehmen. Keine Details.
Alle Folien werden voraussichtlich in den nächsten Tagen auf der Website der CISA veröffentlicht.