Software-Bedrohungen sind immer verheerend
Was ist eine Software-Komponentenliste (SBOM)?
Software wird als Bestandteil heutiger Produkte immer bedeutender. Daher ist es heute wichtiger denn je, zu wissen, wie sie sich zusammensetzt. Software wird oft als einzelne Komponente in einer EBOM oder MBOM dargestellt, ohne dass aufgeschlüsselt wird, wie diese Software aufgebaut ist. Eine Software-Komponentenliste identifiziert alle Komponenten, aus denen ein Software-Build besteht, und die Umgebung, in der die Software erstellt wurde. Die SBOM identifiziert und listet die Komponenten innerhalb einer erstellten Software auf, einschließlich wichtiger Metadaten zu jeder Komponente und der Struktur der Beziehungen zwischen diesen Komponenten.
Software-Bedrohungen und -Schwachstellen mit einer SBOM identifizieren
Eine Schlüsselkomponente zum Schutz eines Unternehmens vor Schwachstellen ist der einfache Zugriff auf die Komponenten, aus denen die Software besteht. Die SBOM bildet die Grundlage für die Identifizierung von Bedrohungen und Schwachstellen, die in Softwareprodukten enthalten sein können, indem es SBOMs ständig mit veröffentlichten Schwachstellendatenbanken vergleicht. In praktisch jeder Branche ist das Erkennen von und Reagieren auf Bedrohungen und Schwachstellen in Softwareprodukten eine wesentliche Fähigkeit.
SBOM und Application Lifecycle Management (ALM-) Tools
Die Erstellung der SBOM ist in die kontinuierliche Integration/kontinuierliche Bereitstellung (CI/CD) integriert, die als integraler Prozess im Bereich des Application Lifecycle Managements (ALM) verwaltet wird. ALM-Prozesse bieten eine umfassende Nachverfolgung über den gesamten Lebenszyklus hinweg.
Das Management von Software-Bedrohungen und -Schwachstellen erfordert die Ermittlung von Risiken und die Entwicklung von Anforderungen zur Risikominderung. Die Anforderungen an das Risikomanagement lassen sich direkt auf die Metadatenelemente zurückführen, die die Erstellung der SBOM steuern. Diese Rückverfolgbarkeit in Verbindung mit dem Abgleich mit einer Schwachstellendatenbank schafft eine geschlossene Lösung für das Management von Software-Bedrohungen und Schwachstellen.