Eine SBOM ist ein maschinenlesbares Dokument und entspricht einer elektronischen Stückliste. Es inventarisiert eine Codebasis und enthält somit Informationen über alle verwendeten Komponenten einer Software. Diese Informationen können in unterschiedlicher Breite und Tiefe dargestellt werden und von einer groben Struktur bis zu einer detaillierten Aufschlüsselung von Produkten und Softwarekomponenten reichen. Entsprechende Vorgaben sind in der Technischen Richtlinie TR-03183 des BSI enthalten.
Eine SBOM sollte bei jedem Softwarehersteller und -anbieter vorhanden sein, um die Komplexität von Software transparent darstellen zu können und um zu wissen, welche Komponenten (z.B. Bibliotheken) verwendet werden, da fast immer eine Vielzahl unterschiedlicher Quellen und Komponenten genutzt wird. Dieses Wissen ist für Softwaremanagementprozesse, insbesondere für einen durchgängigen IT-Sicherheitsprozess und das Software-Lifecycle-Management unabdingbar und gilt daher als „Best Practice“ einer sicheren Software-Lieferkette. Gleichzeitig ist es für die Open Source Compliance nützlich.
Mit Hilfe von SBOM-Informationen kann überprüft werden, ob ein Produkt potenziell von einer Schwachstelle betroffen ist, indem die Komponentenliste des Produkts mit den in den Schwachstelleninformationen aufgeführten Softwarekomponenten verglichen wird. Durch diese standardisierte Abklärung dürfte es sich aus Sicht des Managements um eine Standardmaßnahme zur Vermeidung eigener Haftung handeln. Eine SBOM enthält jedoch keine Aussage über Schwachstellen oder deren Ausnutzbarkeit. Ob und inwieweit von einer Schwachstelle einer verwendeten Softwarekomponente ein Risiko für das in der SBOM beschriebene Produkt ausgeht, geht aus der SBOM ebenfalls nicht hervor. Hierzu sind weitere Informationen über die konkrete Schwachstelle erforderlich, z.B. über Security Advisories oder VEX1 (Vulnerability Exploitability Exchange).
Die Erstellung einer SBOM ist im aktuellen Entwurf des Cyber Resilience Act (CRA) verpflichtend vorgesehen. Im US-amerikanischen Raum wird die SBOM bereits durch die US Executive Order 14028 vom Mai 2021 für Anwendungen im Behördenumfeld gefordert und seitens der FDA (Food and Drug Administration) muss eine SBOM für Medizinprodukte bereits seit März 2023 bei der Zulassung zwingend vorgelegt werden.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024