White Paper

Software-Bedrohungen sind immer verheerend

Abbildung von einem digitalen Schloss mit Code, um Cyberbedrohungen zu verhindern

Software-Schwachstellen sind wie ein Eisberg. Ähnlich der Spitze eines Eisbergs hat ein Software-Entwicklungsteam einen großen Einblick in den Software-Quellcode, den das Team entwickelt. Wie bei einem Eisberg ist jedoch ein Großteil jeder Software für das Softwareentwicklungsteam nicht sichtbar. Es hat vollständigen Einblick in den von ihm erstellten Code. Neben dem von ihm verwalteten Quellcode enthalten typische Software-Builds aber auch Quellcode und Objekte, die aus externen Bibliotheken, Open-Source-Projekten und von Drittanbietern stammen. Vieles davon ist für die Softwareentwickler nicht transparent.

Was ist eine Software-Komponentenliste (SBOM)?

Software wird als Bestandteil heutiger Produkte immer bedeutender. Daher ist es heute wichtiger denn je, zu wissen, wie sie sich zusammensetzt. Software wird oft als einzelne Komponente in einer EBOM oder MBOM dargestellt, ohne dass aufgeschlüsselt wird, wie diese Software aufgebaut ist. Eine Software-Komponentenliste identifiziert alle Komponenten, aus denen ein Software-Build besteht, und die Umgebung, in der die Software erstellt wurde. Die SBOM identifiziert und listet die Komponenten innerhalb einer erstellten Software auf, einschließlich wichtiger Metadaten zu jeder Komponente und der Struktur der Beziehungen zwischen diesen Komponenten.

Software-Bedrohungen und -Schwachstellen mit einer SBOM identifizieren

Eine Schlüsselkomponente zum Schutz eines Unternehmens vor Schwachstellen ist der einfache Zugriff auf die Komponenten, aus denen die Software besteht. Die SBOM bildet die Grundlage für die Identifizierung von Bedrohungen und Schwachstellen, die in Softwareprodukten enthalten sein können, indem es SBOMs ständig mit veröffentlichten Schwachstellendatenbanken vergleicht. In praktisch jeder Branche ist das Erkennen von und Reagieren auf Bedrohungen und Schwachstellen in Softwareprodukten eine wesentliche Fähigkeit.

SBOM und Application Lifecycle Management (ALM-) Tools

Die Erstellung der SBOM ist in die kontinuierliche Integration/kontinuierliche Bereitstellung (CI/CD) integriert, die als integraler Prozess im Bereich des Application Lifecycle Managements (ALM) verwaltet wird. ALM-Prozesse bieten eine umfassende Nachverfolgung über den gesamten Lebenszyklus hinweg.

Das Management von Software-Bedrohungen und -Schwachstellen erfordert die Ermittlung von Risiken und die Entwicklung von Anforderungen zur Risikominderung. Die Anforderungen an das Risikomanagement lassen sich direkt auf die Metadatenelemente zurückführen, die die Erstellung der SBOM steuern. Diese Rückverfolgbarkeit in Verbindung mit dem Abgleich mit einer Schwachstellendatenbank schafft eine geschlossene Lösung für das Management von Software-Bedrohungen und Schwachstellen.

Teilen

Verwandte Ressourcen