TeleTrusT
TeleTrusT-Leitfaden zur Software Bill of Materials (SBOM)
Der TeleTrusT-Leitfaden zur Software Bill of Materials (SBOM) aus dem Jahr 2024 widmet sich dem Thema IT-Sicherheit in der Software-Lieferkette. Er zeigt auf, wie SBOMs als Werkzeug zur Verbesserung der Transparenz und Sicherheit in der Softwareentwicklung genutzt werden können. SBOMs spielen eine zentrale Rolle, um potenzielle Sicherheitsrisiken frühzeitig zu erkennen und proaktiv anzugehen.
Was ist eine Software Bill of Materials (SBOM)?
Eine SBOM ist eine detaillierte Liste aller Software-Komponenten, die in einem Produkt oder Dienst verwendet werden. Sie umfasst Informationen über Bibliotheken, Module, APIs und andere Abhängigkeiten, die zur Entwicklung und Funktionsweise der Software beitragen. Vergleichbar mit einer Stückliste in der Fertigung, ermöglicht eine SBOM eine transparente Übersicht über alle verwendeten Komponenten, einschließlich der zugehörigen Lizenzinformationen und Versionen.
SBOMs helfen, potenzielle Sicherheitslücken frühzeitig zu identifizieren, da sie die Herkunft und den Zustand jeder Software-Komponente dokumentieren. Damit lassen sich Schwachstellen leichter nachvollziehen und Maßnahmen zur Behebung einleiten. Zudem erleichtern SBOMs das Lizenzmanagement, indem sie sicherstellen, dass alle verwendeten Open-Source- und kommerziellen Lizenzen den rechtlichen Anforderungen entsprechen.
Einsatzbereiche von SBOMs
SBOMs sind vor allem für Unternehmen von großer Bedeutung, die Software entwickeln oder nutzen, da sie eine erhöhte Transparenz in der IT-Lieferkette schaffen. Das ist besonders relevant, da viele Sicherheitslücken durch unzureichend dokumentierte Drittkomponenten in die eigene Software gelangen können. Angriffe auf die IT-Lieferkette, bei denen Schwachstellen in solchen Komponenten ausgenutzt werden, haben in den letzten Jahren zugenommen.
Die Anwendung von SBOMs wird in verschiedenen Phasen des Softwarelebenszyklus empfohlen. Softwarearchitekten können SBOMs beim Design einer Software verwenden, um geeignete Komponenten auszuwählen. Entwickler können damit bekannte Schwachstellen vermeiden, indem sie gezielte Prüfungen in den Code einbauen. Administratoren profitieren von SBOMs durch eine genaue Übersicht, welche Komponenten möglicherweise aktualisiert oder abgesichert werden müssen.
Rechtlicher Rahmen und Standardisierung
Aktuell gibt es in Deutschland noch keine explizite gesetzliche Verpflichtung zur Nutzung von SBOMs. Es wird jedoch erwartet, dass SBOMs Teil des „Standes der Technik“ werden, wie er in verschiedenen Gesetzen gefordert wird, darunter die EU-Datenschutzgrundverordnung (DSGVO) und das IT-Sicherheitsgesetz (BSIG). Der kommende Cyber Resilience Act (CRA) der EU wird Hersteller verpflichten, SBOMs für digitale Produkte bereitzustellen, die in der EU verkauft werden. In den USA wurde bereits im Jahr 2021 per Executive Order festgelegt, dass Software, die an die US-Regierung geliefert wird, SBOMs enthalten muss.
Anforderungen an SBOMs
Eine SBOM sollte in einem maschinenlesbaren Format wie SPDX oder CycloneDX vorliegen, um die Automatisierung zu ermöglichen. Diese Formate sorgen für Interoperabilität und fördern einen reibungslosen Austausch zwischen verschiedenen Akteuren in der IT-Lieferkette. Die SBOM muss detaillierte Informationen zu jeder Komponente enthalten, wie Name, Version und Lizenz, um eine eindeutige Nachverfolgung zu gewährleisten.
Ein weiteres wesentliches Merkmal von SBOMs ist die Automatisierung. Um sicherzustellen, dass eine SBOM immer aktuell bleibt, müssen Prozesse etabliert werden, die regelmäßige Aktualisierungen und Überprüfungen ermöglichen. Dies gilt insbesondere für sicherheitskritische Anwendungen, bei denen die Einhaltung von Compliance-Vorgaben und das Patch-Management von großer Bedeutung sind.
Werkzeuge und Ausblick
Verschiedene Tools unterstützen die Erstellung, Verwaltung und Analyse von SBOMs. Dazu gehören Programme wie Syft, Dependency Track von OWASP oder kommerzielle Lösungen wie Snyk und Mend SCA. Diese Werkzeuge ermöglichen eine nahtlose Integration von SBOMs in bestehende Entwicklungsprozesse, insbesondere in CI/CD-Pipelines (Continuous Integration/Continuous Deployment).
In Zukunft wird erwartet, dass SBOMs um weitere Funktionen erweitert werden. So könnten sie verstärkt in Cloud-Umgebungen integriert werden, um dynamische Abhängigkeiten von Cloud-Diensten abzubilden. Auch eine Erweiterung auf Hardware-Komponenten, etwa durch sogenannte Hardware Bills of Materials (HBOMs), könnte die Sicherheitslage weiter verbessern.
Fazit
SBOMs sind ein unverzichtbares Werkzeug, um Transparenz und Sicherheit in der Softwareentwicklung und IT-Lieferkette zu gewährleisten. Sie helfen, Risiken frühzeitig zu erkennen, Lizenzkonformität sicherzustellen und Sicherheitslücken effektiv zu beheben. Unternehmen sollten SBOMs in ihre Sicherheitsstrategie integrieren und ihre Lieferanten dazu verpflichten, ebenfalls SBOMs bereitzustellen. Angesichts der zunehmenden regulatorischen Anforderungen durch den Cyber Resilience Act und andere Gesetze ist es ratsam, sich frühzeitig mit den Anforderungen und Möglichkeiten von SBOMs vertraut zu machen, um langfristig von den Vorteilen zu profitieren.
