CVD Portal
← Zurück zum BlogRead in English →
Lieferkettensicherheit

Warum Ihr SBOM die Grundlage Ihrer Sicherheitslage ist

Von Das CVD-Portal-Team
10 Min. Lesezeit

Jahrelang war die Software-Stückliste (SBOM) ein Nischenkonzept, das vor allem von spezialisierten Sicherheitsforschern und ausgewählten Behörden vorangetrieben wurde. Heute, dank der zunehmenden Häufigkeit von Lieferkettenangriffen (denken Sie an Log4j oder SolarWinds) und der ausdrücklichen Vorgaben des EU Cyber Resilience Act (CRA), ist das SBOM von der Peripherie in das tote Zentrum der Produktsicherheitstechnik gerückt.

Der CRA verlangt von Herstellern von Produkten mit digitalen Elementen (PDEs), „eine Software-Stückliste in einem gängigen und maschinenlesbaren Format zu erstellen“, die mindestens die obersten Abhängigkeiten abdeckt.

Doch das SBOM rein als regulatorisches Compliance-Häkchen zu betrachten, ist eine gewaltige verpasste Chance. In der modernen Softwareentwicklung, in der 80 bis 90 % der Codebasis einer Anwendung aus quelloffenen Drittkomponenten bestehen, ist ein genaues, kontinuierlich aktualisiertes SBOM nicht nur ein Dokument für Prüfer, es ist die grundlegende Datenstruktur, auf der Ihre gesamte Sicherheitslage ruht.

Hier ist, warum Entwicklungsteams aufhören müssen, SBOMs als nachträglichen Gedanken zu behandeln, und damit beginnen müssen, sie in den Kern ihrer CI/CD-Pipelines zu integrieren.

1. Das „Log4j“-Problem: Schwachstellenkorrelation

Der unmittelbarste und kritischste Anwendungsfall für ein SBOM ist die Schwachstellenkorrelation.

Wenn eine massive Zero-Day-Schwachstelle in einer weit verbreiteten Open-Source-Bibliothek auftaucht (wie Log4j Ende 2021), lautet die unmittelbare Frage der Geschäftsführung, des Vorstands und Ihrer Unternehmenskunden: Sind wir betroffen, und wenn ja, wo?

Ohne ein SBOM ist die Beantwortung dieser Frage eine panische, hektische archäologische Grabung über Dutzende von Repositories, Paket-Lock-Dateien und Docker-Images hinweg. Ingenieure verbringen Tage damit, ad hoc grep-Befehle auszuführen, um festzustellen, ob und wo die verwundbare Bibliothek tief in einem Abhängigkeitsbaum vergraben ist.

Mit einem zentralisierten, abfragbaren SBOM-Repository dauert die Beantwortung dieser Frage Sekunden. Sie gleichen den betroffenen Paketnamen und die Versionen der CVE mit Ihrer SBOM-Datenbank ab. Sie wissen sofort genau, welche Produkte, welche Microservices und welche Container-Images die verwundbare Komponente enthalten, und können augenblicklich vom „Panik“-Modus in den „gezielte Behebung“-Modus wechseln.

2. Lieferkettenrisikomanagement

Sie erben die technischen Schulden und Sicherheitspraktiken jedes Maintainers, dessen Code Sie importieren.

Ein SBOM verschafft Einblick in Ihr Lieferkettenrisikoprofil über bekannte Schwachstellen (CVEs) hinaus. Eine reife Strategie zur SBOM-Auswertung erlaubt es Ihrem Sicherheitsteam, tiefere Fragen zu Ihren Abhängigkeiten zu stellen:

  • Lizenz-Compliance: Verwenden wir unabsichtlich eine Komponente mit einer restriktiven Copyleft-Lizenz (wie GPLv3) in unserer proprietären, geschlossenen Anwendung?
  • Komponentenalter und -gesundheit: Verlassen wir uns auf Pakete, die seit vier Jahren nicht von ihren Maintainern aktualisiert wurden? Verwenden wir veraltete oder archivierte Repositories?
  • Abhängigkeits-Wildwuchs: Warum importiert unser einfacher Authentifizierungs-Microservice 400 verschiedene npm-Pakete?

Indem Sie die SBOM-Analyse in Ihren Build-Prozess integrieren, können Sie akzeptable Risikoschwellen festlegen. Sie können zum Beispiel Ihre CI so konfigurieren, dass sie einen Build scheitern lässt, wenn sie die Einführung eines aufgegebenen Pakets oder einer inakzeptablen Lizenz erkennt.

3. Reaktion auf Vorfälle und Forensik

Tritt ein Sicherheitsvorfall ein, ist alles eine Frage von Tempo und Kontext.

Bricht ein Angreifer in einen Container ein, der in Ihrer Produktivumgebung läuft, erfordert die Identifizierung des ursprünglichen Angriffsvektors, genau zu wissen, was in dieser spezifischen Umgebung zu diesem spezifischen Zeitpunkt lief.

Da SBOMs die exakte Zusammensetzung eines Artefakts zum Build-Zeitpunkt abbilden, liefern sie eine präzise kryptografische Ausgangsbasis für die Reagierenden auf Vorfälle. Indem sie das SBOM des bereitgestellten Images mit den tatsächlich auf dem kompromittierten System gefundenen Dateien vergleichen, können Forensikteams rasch erkennen, ob ein Angreifer nach der Bereitstellung unbefugte Binärdateien abgelegt oder bestehende Abhängigkeiten verändert hat.

4. Die M2M-Zukunft: CSAF und VEX

Die Branche bewegt sich hin zu einem hochautomatisierten Schwachstellenmanagement von Maschine zu Maschine (M2M). Das SBOM ist die Voraussetzung für die Teilnahme an diesem Ökosystem.

Wir beobachten den Aufstieg des VEX (Vulnerability Exploitability eXchange). Ein VEX-Dokument arbeitet neben einem SBOM. Während ein SBOM sagt „Wir verwenden OpenSSL v1.1.1“, erlaubt ein VEX-Dokument dem Hersteller auszusagen: „Ja, wir verwenden OpenSSL v1.1.1, aber wir verwenden nicht die spezifische TLS-Heartbeat-Funktion, die von Heartbleed betroffen ist, daher ist unser Produkt von CVE-2014-0160 nicht betroffen.“

Um automatisierte VEX-Aussagen zu erzeugen oder maschinenlesbare CSAF-Sicherheitsmeldungen zu veröffentlichen (beides vom CRA stark gefördert), brauchen Sie grundlegend ein strukturiertes, maschinenlesbares Inventar Ihrer Komponenten. Das SBOM ist das Datenwörterbuch für alle nachfolgenden automatisierten Sicherheitskommunikationen.

Wie man es richtig macht: Automatisierung ist Pflicht

Wenn Ihr Plan darin besteht, dass ein Entwickler einmal im Quartal manuell eine Excel-Tabelle der Abhängigkeiten zusammenstellt, um einen Prüfer zufriedenzustellen, wird Ihre SBOM-Strategie scheitern. Sie ist in dem Moment veraltet, in dem sie gespeichert wird.

Um SBOMs zur wahren Grundlage Ihrer Sicherheitslage zu machen, müssen Sie drei Grundsätze einhalten:

  1. Zum Build-Zeitpunkt erzeugen: Die SBOM-Erstellung muss ein automatisierter Schritt in Ihrer CI/CD-Pipeline sein. Jedes Mal, wenn ein neues Artefakt (Container, Binärdatei, Firmware) gebaut wird, muss daneben ein SBOM erzeugt werden.
  2. Standardformate verwenden: Halten Sie sich an die beiden maschinenlesbaren Industriestandardformate. Beide werden von Werkzeugen breit unterstützt und von Regulierern akzeptiert.
  3. Zentralisieren und überwachen: Werfen Sie die JSON-Dateien nicht einfach in einen S3-Bucket und vergessen Sie sie. Lesen Sie Ihre SBOMs in ein Dependency-Track-Werkzeug oder eine spezialisierte SBOM-Management-Plattform ein. Diese Plattform sollte Ihre eingelesenen SBOMs kontinuierlich gegen Schwachstellenfeeds (wie die NVD) überwachen und Sie alarmieren, wenn neue CVEs Ihre früheren Builds betreffen.

Fazit

Die CRA-Vorgabe hat die Hand der Branche gezwungen, aber Entwicklungsteams sollten das SBOM nicht als Last begreifen, sondern als operative Superkraft. Ein genaues, automatisiertes SBOM verwandelt die Softwarezusammensetzung von einer undurchsichtigen Blackbox in strukturierte, abfragbare Daten. Es ist die Grundlage, auf der eine schnelle Reaktion auf Vorfälle, eine wirksame Schwachstellenkorrelation und sichere Lieferketten aufbauen.

Mehr aus dem Blog
CRA-Konformität

Die Uhr läuft: Was niederländische Führungskräfte vor Inkrafttreten der Cyberbeveiligingswet wissen müssen

9 Min. LesezeitCRA-Konformität

Die überlappenden Meldeuhren: CRA, NIS2 und DSGVO in einem Bild

8 Min. LesezeitCRA-Konformität

Wann die Meldung von Schwachstellen und Vorfällen unter dem CRA verpflichtend wird

9 Min. Lesezeit

Bleiben Sie konform mit dem Cyber Resilience Act

Prüfen Sie Ihre Bereitschaft mit der CRA-Bereitschafts-Checkliste oder vergleichen Sie die Tarife auf der Preisseite.

Kostenlos starten