De behoefte aan SBOM — Deel 2

Het schrijven van software of softwarecomponenten vanaf het begin is zeldzaam in de moderne softwareontwikkeling. Bestaande bibliotheken en frameworks bieden de basis voor het ontwikkelen van nieuwe functies en functionaliteiten, en dit nieuwe product kan de basis worden voor een ander product.

Echter, deze laagstructuur van software en componenten kan blinde vlekken creëren voor de ontwikkelaar en consumenten. In Deel-1 hebben we besproken hoe lagen een uitdaging creëren bij het identificeren van zero-day kwetsbaarheden (wereldwijd ervaren met log4shell).

Andere risico's zijn verbonden aan software van onbekende samenstelling, waaronder:

• het risico van het opnemen van componenten met een beperkende licentie

• componenten die het einde van hun levenscyclus hebben bereikt, of

• componenten die worden beïnvloed door statenacteurs.

De productie heeft met soortgelijke zorgen in supply chain en voorraadbeheer te maken gehad door het opstellen van een Bill of Materials (BOM), Obsolescentiebeheer, Productwijzigingsmeldingen (PCN), en beheer van het einde van de levenscyclus (EOL).

SBOM brengt die lessen en praktijken naar de softwareontwikkeling.

‍