sbomasm: SBOM-Assemblierung für Softwareprodukte
| Interlynk
Das Erstellen der Software-Stückliste, auch bekannt als „SBOM“ (Software Bill of Materials) – parallel zur eigentlichen Software – ist eine bewährte Methode zur Überwachung von Zero-Day-Schwachstellen oder zur Erfüllung von regulatorischen und Compliance-Anforderungen.
SBOM ist zudem bereit für die Anforderungen an Software-Transparenz, die in stark regulierten Bereichen wie dem Finanzwesen, dem Gesundheitswesen und bei Bundesbehörden entstehen.
Es gibt kommerzielle und Open-Source-Tools zur Erstellung von SBOMs für Softwareprojekte in den meisten Software-Ökosystemen sowie aus Anwendungs-Binärdateien und Firmware.
Ein typisches kommerziell erhältliches Softwareprodukt oder vernetztes Gerät wird jedoch als eine Sammlung von Software- und Hardware-Projekten erstellt, die sich aus mehreren Hardwarekomponenten, Bibliotheken, Diensten oder sogar der direkten Verteilung von ausführbaren Dateien zusammensetzen.
Beispiele hierfür sind:
Eine mobile App enthält Bibliotheken von Drittanbietern für Marketing-, Authentifizierungs- oder Werbezwecke – alle von externen Anbietern.
Ein medizinisches Gerät kann programmierbare Komponenten von verschiedenen Herstellern enthalten, jeweils mit eigenen Versionen und Upgrade-Zyklen.
Eine Desktop-Anwendung kann ausführbare Dateien von Drittanbietern enthalten, die sie für bestimmte Funktionen aufruft.
In diesen Fällen kann die SBOM für Projekte und Bibliotheken zwar mit dem jeweiligen Projekt erstellt werden, aber die Zusammenführung zu der endgültigen Produkt-SBOM erfordert ein tieferes Verständnis der SBOM-Formate und deren Einschränkungen.
Die Erstellung einer endgültigen Produkt-SBOM durch Kombinieren der Projekt-SBOMs löst mehrere Probleme, darunter:
Bereitstellung einer einzigen Produkt-SBOM anstelle von vielen Projekt-SBOMs
Verfolgung der Produktversion im Vergleich zu bestimmten Projektversionen
Verfolgung des Endprodukts mit einer einzigen SKU in SBOM-Managementsystemen
Zuordnung neu veröffentlichter Schwachstellen zu bestimmten Projekten
sbomasm — Assembler für SBOM
Das kostenlose und quelloffene Tool von Interlynk – sombasm – ist die Lösung für dieses Problem bei der Zusammenstellung von SBOMs.
sbomasm ist ein Befehlszeilenprogramm, das für moderne Versionen von Windows, Mac und Linux entwickelt wurde. Es ist der einfachste Weg, SBOMs aus mehreren Projekten zu einer Produkt-SBOM zusammenzuführen, die den kommerziellen Namen, die Version, die Lizenz und andere Metadaten des Produkts enthält.
sbomasm verfügt über eine konfigurierbare Eingabe, die in den meisten CI/CD-Pipelines verwendet werden kann, um diesen Prozess bei jedem Produktrelease zu automatisieren.
sbomasm kümmert sich um zahlreiche Feinheiten, wie das Beibehalten von Komponentenbeziehungen und Prüfsummen zur Verfolgung von Schwachstellen in Komponenten, die Verwaltung von Duplikaten von Komponenten oder Teilkomponenten sowie die Ermöglichung von Spezifikationen in mehreren Formaten.
Funktionen
sbomasm unterstützt:
CycloneDX- und SPDX-Ein- und Ausgabeformate
Kommandozeilenschnittstelle und Konfigurationsdatei als Eingabe
verfügbar für die meisten modernen Versionen von Windows, Linux und Mac
flaches Zusammenführen (keine Hierarchie) oder hierarchisches Zusammenführen
Verwendungsindikator für das Endprodukt (SBOM-Primärpaketdeklaration)
Optionen zur Automatisierung der Produkt-SBOM-Erstellung
Beispiele
In seiner einfachsten Form kann sbomasm verwendet werden, um die SBOM aus zwei verschiedenen Projekten zu einem Endprodukt zu kombinieren:
Projekte
Docker Engine — v24.0.2: SBOM-Datei: engine.spdx.tv
Docker Compose — v2.19.1: SBOM-Datei: compose.spdx.tv
Produkt
Docker Desktop — v4.21.2: Gewünschte SBOM-Datei: desktop.spdx.tv
Befehl
Das ist alles!
Nach Abschluss beschreibt die SBOM-Datei desktop.spdx.tv ein Produkt namens Docker Desktop der Version v4.21.2 und vom Typ application, das aus drei Teilen besteht — docker engine v24.0.2, docker compose v2.19.1
Alle Komponenten behalten ihre ursprünglichen Lizenzen und Prüfsummen, was sicherstellt, dass zukünftige Überprüfungen die Anforderungen erfüllen.
Jede Zero-Day-Schachstelle in einer Komponente von Docker Engine v24.0.1 wird sowohl in Docker Desktop v4.21.2 als auch unter dem Komponentennamen Docker Engine v24.0.1 angezeigt (Erhalt der Beziehungen)
Konfiguration
sbomasm unterstützt auch die gängigsten Konfigurationen aus der Konfigurationsdatei. Die Vorlage für eine solche Datei kann generiert werden mit
Die Konfigurationsdatei kann bearbeitet werden, um verschiedene Optionen anzupassen, und kann mit einem einfachen Befehl für eine beliebige Anzahl von Projekt-SBOMs verwendet werden:
Zusätzliche Funktionen
sbomasm-Funktionalitäten sind in der SBOM-Plattform von Interlynk enthalten. Es kann auf eine kommerzielle Version für weitere Funktionen aktualisiert werden, wie zum Beispiel:
Automatischer Import von SBOMs aus Projekten
Extraktion jedes Projekt-SBOMs aus dem Produkt-SBOM
Visuelle Benutzeroberfläche und integrierte Vorlagen für die automatische SBOM-Erstellung
Unterstützung für kommerzielle Lizenzen
Schwärzung von Lieferanten- oder Komponentennamen aus dem Produkt-SBOM
Zukunft
sbomasm ist eines aus einer wachsenden Liste von Open-Source-Tools im Rahmen der Open-Source-Toolinitiative von Interlynk initiative.
Unsere Mission ist es, allen CI/CD-Systemen die Erstellung von SBOMs zu erleichtern und sie für Verbraucher nützlich zu machen.
Wir entwickeln alle Tools kontinuierlich weiter. Kontaktieren Sie uns gerne unter hello@interlynk.io, wenn Sie sbomasm oder andere Tools verwenden möchten,
sbomqsfür die SBOM-Qualitätsbewertung,sbomgrfür die SBOM-Suche odersbomexfür die Untersuchung von SBOM-Formaten und -Spezifikationen,
Wir helfen Ihnen gerne weiter und erweitern die Funktionen dieser Tools.