Fachthema
Sichere Software beginnt mit der richtigen Zutatenliste!
Sichere Software braucht Transparenz - Mit SBOMs alle Komponenten im Blick.
Mehr Sicherheit mit SBOMs
Vernetzte und softwaregesteuerte Systeme stellen hohe Anforderungen an die Sicherheit digitaler Komponenten. Eine der zentralen Herausforderungen besteht darin, alle eingesetzten Software-Komponenten lückenlos zu identifizieren und deren Herkunft nachvollziehbar zu machen. Genau an diesem Punkt setzt die Software Bill of Materials ("SBOM") an.
Was ist eine Software Bill of Materials (SBOM)?
Eine SBOM ist die detaillierte Liste aller Software-Komponenten und ihrer Abhängigkeiten, die in einem System oder einer Applikation verwendet werden. Man könnte sie als „Zutatenliste“ für Software-Produkte betrachten, die transparent offenlegt, was genau verbaut wurde.
Diese Transparenz bringt zahlreiche Vorteile:
- Bessere Kontrolle und Sichtbarkeit: Entwickler:innen und Sicherheitsverantwortliche sehen auf einen Blick, welche Komponenten vorhanden sind und ob sie potenzielle Sicherheitslücken enthalten.
- Effizientere Risikoeinschätzung: Sicherheitsanalysen und Patch-Management werden schneller und präziser, da unmittelbar klar ist, welche Komponenten von einer Schwachstelle betroffen sein könnten.
- Compliance: Immer mehr regulatorische Vorgaben und Branchenstandards fordern explizit die Verwendung einer SBOM, beispielsweise in der Medizintechnik, Automobilindustrie und kritischer Infrastruktur.
SBOM und Security: Ein unschlagbares Duo
Im Kontext der Cybersecurity spielt die SBOM eine entscheidende Rolle, vor allem angesichts wachsender Cyberbedrohungen wie Supply-Chain-Attacken. Durch die klare Übersicht lässt sich bei Sicherheitsvorfällen schnell nachvollziehen, welche Komponenten betroffen sein könnten, und entsprechende Maßnahmen können gezielt eingeleitet werden.
Wie erstellt man eine SBOM?
Es gibt verschiedene etablierte Standards und Formate zur Erstellung einer SBOM, darunter:
- CycloneDX: Weit verbreitet, besonders in der Softwareentwicklung und DevOps-Pipelines.
- SPDX (Software Package Data Exchange): Ein offener Standard, unterstützt von der Linux Foundation.
Moderne Softwareentwicklungstools ermöglichen die automatisierte Erstellung von SBOMs bereits im Entwicklungsprozess. Dies reduziert manuelle Aufwände und minimiert Fehlerquellen.
SBOM bei GELin
Bei GELin, der seit vielen Jahren in vielen Kundenprodukten eingesetzten Ginzinger Embedded Linux Distribution, spielt die Erstellung und Nutzung von SBOMs bereits lange eine tragende Rolle. Neben der Relevanz für die Cybersicherheit bildet die GELin in SBOM auch die Grundlage für Open Source Compliance, in dem es neben den Komponenten und Versionen auch die Lizenzausprägungen listet.
Ursprünglich entwickelte Ginzinger ein eigenes Format, lange bevor CycloneDX und SPDX zu branchenweit anerkannten Standards wurden. Derzeit wird das SBOM-Tool um die beiden etablierten Standards CycloneDX und SPDX erweitert, um eine vollständige Konformität mit den Anforderungen der Cyber Resilience Act (CRA) sicherzustellen.
Transparenz als Schlüssel zur sicheren Software
Die SBOM ist keine optionale Ergänzung in Embedded Projekten, sondern ein essenzieller Bestandteil moderner IT-Sicherheitsstrategien. Durch eine umfassende Dokumentation der eingesetzten Software-Komponenten schaffen Unternehmen Transparenz und Vorausschaubarkeit, verbessern ihre Reaktionsfähigkeit im Ernstfall und erfüllen regulatorische Vorgaben effizienter. Eine solide SBOM ist entscheidend, um langfristig sichere und verlässliche Softwarelösungen zu gewährleisten.