Software Bill of Materials (SBOM) - Prof. Dr. Norbert Pohlmann

Was ist ein Software Bill of Materials (SBOM)?

Unter Software Bill of Materials (SBOM) wird eine Stückliste oder Aufzeichnung verstanden, die systematisch und strukturiert die Softwarekomponenten einer Softwarelösung sowie ihre Beziehungen zu den Software-Zulieferern beschreibt.
Eine SBOM gibt also an, welche Software-Pakete und -Bibliotheken in einer Softwarelösung des Unternehmens enthalten sind, woher sie stammen, welche Abhängigkeiten vorhanden sind, die verwendete Versionen ist und ob sie bekannte Sicherheitslücken aufweisen. Mit der Hilfe von SBOM wird der gesamte Softwarecode in einem Unternehmen inventarisiert, damit das Risiko von Schwachstellen in der Lieferkette eliminiert oder zumindest stark reduziert werden kann.

SBOM ist vergleichbar mit einer Stückliste für physische Produkte, die jede Komponente zum Beispiel einer Maschine detailliert beschreibt. Eine SBOM hilft den Unternehmen, die IT-Sicherheit in der Software-Lieferkette zu verbessern, weil dadurch der Überblick über alle Softwarekomponenten, deren Versionen und die Abhängigkeiten vorhanden sind.

SBOM schafft eine Übersicht über die Softwarekomponenten

Diese Übersicht der Softwarekomponenten ist immer wichtiger, weil zunehmend mehr Unternehmen Open-Source-Software und Software von Drittanbieter in ihre Softwarelösung und IT-Dienste einbinden, um in der fortschreitenden Digitalisierung mithalten zu können. Das Problem, dass das im Bereich der Cyber-Sicherheit auftritt, ist, dass dieser Vorgang nicht immer transparent ist und die eingebundene Software oft nicht sicher ist.

Eine SBOM ermöglicht es, den Überblick über die Komponenten zu behalten, ihre Herkunft, Abhängigkeiten und Schwachstellen nachzuvollziehen und so die Informationssicherheit der Software-Lieferkette zu verbessern.

Wichtige Anforderungen an eine Software Bill of Materials sind:

• Eine SBOMs besteht mindestes aus der in der Softwarelösung eingebauten Softwarekomponente mit der Beschreibung der jeweiligen Version. Zusätzlich müssen der Anbieter / Hersteller der Softwarekomponente sowie ein Zeitstempel und eine Liste der Abhängigkeiten aufgezeigt werden.
• Die SBOMs muss in einem maschinenlesbaren Format vorliegen, damit die beinhaltenden Informationen automatisch ausgewertet und genutzt werden können.
• Damit neue Release und Updates aktualisiert werden können, ist es wichtig, die Erzeugung und Bereitstellung von SBOMs in die CI/CD-Pipeline zu integrieren.

Mithilfe einer guten Software Bill of Materials (SBOM) können Unternehmen ein notwendiges Verständnis der Softwarezusammensetzung aufbauen, Abhängigkeiten von Softwarekomponenten identifizieren, deren Risiken bewerten, Änderungen verfolgen und vorhandene Schwachstellen und der potenziellen Auswirkungen besser bewerten.

Dadurch können Supply Chain Angriffe deutlich besser verhindert werden.

Weitere Informationen zum Begriff “Software Bill of Materials (SBOM)”:

„Verwendung von Geolokation als Angriffsvektor für Social Engineering“

„Angriffe auf die Künstliche Intelligenz“

„Supply Chain Security – Wie sich Lieferketten vor Angriffen schützen lassen“

„Cyber Security – 10 aktuelle Problemfelder“

„Social Media Scraper im Einsatz“

„Cybersicherheit auf Plattormen“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„Marktplatz IT-Sicherheit: IT-Notfall“

„Marktplatz IT-Sicherheit: IT-Sicherheitstools“

„Marktplatz IT-Sicherheit: Selbstlernangebot“

„Vertrauenswürdigkeits-Plattform“

Summary

Article Name

Software Bill of Materials

Description

Unter Software Bill of Materials (SBOM) wird eine Stückliste / Aufzeichnung verstanden, die systematisch und strukturiert die Softwarekomponenten einer Softwarelösung sowie ihre Beziehungen zu den Software-Zulieferern beschreibt.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo