SBOM-Compliance erklärt: Was ein SBOM ist, wie man es erstellt, signiert und teilt, akzeptierte Formate (CycloneDX, SPDX, SWID) sowie die Vorschriften, die dies verlangen.
Was ist die Software-Stückliste (SBOM)?
SBOM (Software-Stückliste) ist ein formales Dokument, das die Details und Lieferkettenbeziehungen der verschiedenen Komponenten enthält, die bei der Erstellung eines Softwareprodukts verwendet werden. Die SBOM wird mit der Stückliste (Bill of Materials, BOM) für physische Güter verglichen. Angesichts der Natur der Softwareentwicklung (kontinuierliche Entwicklung und Updates) spiegelt die SBOM den Zustand eines Softwareprodukts jedoch nur zu einem bestimmten Zeitpunkt wider.
Wofür wird die SBOM verwendet?
Die SBOM kann ihre Komponenten-Lieferkette (Open-Source- oder kommerzielle Komponenten im Produkt und deren Integrität) verfolgen und absichern sowie alle rechtlichen oder Cybersicherheitsrisiken bewerten, wie beispielsweise die Verwendung einer falschen Lizenz oder einer veralteten Komponente (End-of-Life). Die SBOM kann auch als offizielles Protokoll gespeichert werden, um nach neuen Zero-Day-Schwachstellen zu suchen.
Was ist SBOM-Compliance?
Seit ihren Anfängen im Jahr 2019 sucht die Cybersecurity and Infrastructure Security Agency (CISA) nach einem System, um Bundesbehörden vor Angriffen auf die Software-Lieferkette zu schützen. Die SBOM wurde als potenzielle Lösung empfohlen und durch die Executive Order 14028 des Weißen Hauses formalisiert. Diese Initiative hat Einzug in verschiedene Bundesbehörden gehalten, darunter die FDA für Medizinprodukte, die FTC für vernetzte Geräte und das OMB für den Softwarekauf in Bundesbehörden. Die SBOM ist auch eine wichtige Säule des National Cybersecurity Strategy Implementation Plan zur Förderung von Transparenz und der Verfolgung des Lebenszyklusendes. SBOM-Compliance ist ein übergeordneter Begriff dafür, dass Unternehmen in der Lage sind, die Erstellung und Weitergabe von SBOMs vorzubereiten.
Wie erfülle ich die Anforderungen an die SBOM-Compliance?
SBOM-Compliance (Software Bill of Materials) erfordert drei Schritte:
Erstellen einer Produkt-SBOM mit jedem Release/Patch des Produkts
Signieren und Bestätigen der Richtigkeit der erstellten SBOM
Teilen der SBOM mit dem relevanten Kunden oder der relevanten Behörde
SBOM erstellen
Die CISA empfiehlt eines der drei offenen Formate zur SBOM-Erstellung: CycloneDX, SPDX und SWID. Die SBOM-Generierung variiert je nach Entwicklungs-Setup, Build-Umgebung und den zugrunde liegenden Entwicklungspraktiken. Eine SBOM kann aus dem Quellcode oder aus Build- und Release-Pipelines generiert werden. Sie kann auch durch die Analyse von Binärartefakten (SCA) oder zugrunde liegenden Manifesten für Artefakte wie Container-Images erstellt werden. Die Tools-Seiten für CycloneDX und SPDX sind hervorragende Ausgangspunkte für verschiedene Open-Source- und kommerzielle Generierungstools für viele Entwicklungsumgebungen.
SBOM signieren
Einige Behörden verlangen, dass SBOMs signiert werden, um die Integrität des Inhalts zu gewährleisten. Die SBOM-Signierung stellt sicher, dass der Inhalt der SBOM vom Softwarehersteller überprüft und bestätigt wurde. Die SBOM kann mit Open-Source-Tools wie cosign für Container-Images oder unter Verwendung eines kommerziellen Zertifikats wie RSA-Zertifikaten einer Zertifizierungsstelle (CA) signiert werden.
SBOM teilen
Eine SBOM listet alle enthaltenen Open-Source- und kommerziellen Komponenten und ihre Beziehungen auf, zusammen mit deren Versionen, Lizenzen und Validierungsinformationen wie Hashes. Dies sollte als sensibles Dokument behandelt und mit der entsprechenden Sorgfalt geteilt werden. Die Compliance-Vorgaben haben jedoch keine spezifische Methode für das Teilen explizit vorgeschrieben, sodass es theoretisch möglich ist, sie per E-Mail oder als freigegebenes Dokument zu teilen. Interlynk empfiehlt die Nutzung von Freigabemechanismen, die überprüfbar und nachverfolgbar sind.
Wie wird die SBOM verwendet?
CISA empfiehlt die Verwendung von SBOM zur Integritätsprüfung und Überwachung von Anwendungen, die Behörden nutzen, auf neue Zero-Day-Schwachstellen und End-of-Life-Software. Dies erfordert, dass SBOM einen Mindestsatz an Elementen (NTIA-Mindestelemente) sowie angemessene Produkt- und Komponentennamen (PURL und CPE) enthält. Daher ist die Erstellung von SBOM, die ausreichende Produkt- und Komponentennamen enthalten, sowie die Überprüfung von Identifikatoren und Beziehungen zwischen Komponenten wichtig.
Wo kann ich mehr erfahren?
Interlynk wird von Experten für diese zukunftsweisenden Technologien entwickelt, und wir beantworten Ihnen gerne alle Fragen. Sie können uns gerne unter hello@interlynk.io oder über interlynk.io kontaktieren.