13.07.2023

Kurz erklärt: Software Bill of Materials (SBOM)

Welche rechtlichen Anforderungen an die Cybersicherheit gibt es in der IT-Lieferkette? Eine wichtige Rolle spielt dabei eine Software Bill of Materials (SBOM) – eines der Schwerpunktthemen 2023 der Arbeit der Kompetenzgruppe Sicherheit im eco Verband.

Eine Software Bill of Materials (SBOM) ist eine systematische und strukturierte Aufzeichnung, die die Komponenten eines Softwareprodukts und ihre Beziehungen innerhalb der Software-Lieferkette beschreibt. Eine SBOM gibt also an, welche Pakete und Bibliotheken in einer Anwendung enthalten sind, woher sie stammen, welche Versionen sie haben und ob sie bekannte Sicherheitslücken aufweisen[1]. Eine SBOM soll helfen, den Softwarecode zu inventarisieren, um das Risiko von Schwachstellen in der Lieferkette zu eliminieren.

Sie kann mit einer Stückliste für physische Produkte verglichen werden, die jede Komponente in einem Produkt (sei es eine Maschine, ein Teil oder ein zusammengesetztes Produkt) detailliert beschreibt. Eine SBOM hilft sowohl Anbietern als auch Käufern, den Überblick über die Komponenten zu behalten und die Sicherheit der (Software-)Lieferkette zu verbessern.

Dies ist insbesondere für Softwareprodukte wichtig, die auf wiederverwendetem Code oder Open-Source-Komponenten basieren, da diese oft von verschiedenen Auftragnehmern oder Projekten stammen und nicht immer transparent oder sicher sind. Viele Softwareprojekte werden zunehmend in immer kleinere, in sich geschlossene Funktionseinheiten, sogenannte Container, aufgeteilt, die über Orchestrierungsplattformen wie Kubernetes verwaltet und lokal oder in der Cloud ausgeführt werden. Eine SBOM ermöglicht es, den Überblick über die Komponenten zu behalten, ihre Herkunft, Abhängigkeiten und Schwachstellen nachzuvollziehen und so die Sicherheit der Software-Lieferkette zu verbessern.

Seit Mai 2021 müssen Unternehmen, die Produkte oder Dienstleistungen an Regierungsbehörden in den USA liefern, eine sogenannte Software Bill of Materials (SBOM) mitliefern, um ihrer Verantwortung für ihre Software-Lieferkette gerecht zu werden. Die US-amerikanische Telekommunikationsbehörde National Telecommunications and Information Administration (NTIA) hat eine Reihe von Mindestanforderungen für eine gültige SBOM entwickelt. Es gibt derzeit noch keine einheitlichen Standards oder Werkzeuge für die Erstellung einer SBOM, aber es gibt bereits eine Reihe von Initiativen und Projekten, die sich mit diesem Thema beschäftigen.[2]

Auch für das BSI ist Software Bill of Materials ein Thema dem Beachtung gewidmet wird:
Unter CON.10 Entwicklung von Webanwendungen (bund.de) ab Seite 5 und unter APP.6: Allgemeine Software (bund.de) ab Seite 4 findet man dazu eindeutige Forderungen.


Tools zum Erstellen und Pflege einer Software Bill of Materials:

CycloneDX:
Open-Source-Projekt, das einen Standard für SBOMs definiert und verschiedene Tools und Bibliotheken zur Erstellung und Verarbeitung von SBOMs im CycloneDX-Format anbietet

Salus:
Ein Open-Source-Tool von Microsoft, das SBOMs im SPDX-Format generiert und verschiedene Paketmanager und Repositories unterstützt. [3]

SPDX SBOM Generator
Open-Source-Projekt der Linux Foundation, das einen Standard für SBOMs definiert und verschiedene Tools und Bibliotheken zur Erstellung und Verarbeitung von SBOMs im SPDX-Format anbietet. Das Tool erzeugt Berichte über Komponenten, Lizenzen, Copyrights und Sicherheitsreferenzen Ihres Codes. Diese Daten werden in der SPDX v2.2-Spezifikation exportiert.

Syft:
Open-Source-Tool von Anchore, das SBOMs im SPDX-, CycloneDX- oder JSON-Format generiert und Linux-Pakete, Container-Images und Anwendungsabhängigkeiten analysiert

Tern Project:
Dieses quelloffene SBOM-Projekt lässt sich gut mit SPDX SBOM Generator kombinieren. Anstatt mit Paketmanagern oder Build-Systemen zu arbeiten, erzeugt dieses SCA-Tool und die Python-Bibliothek eine SBOM für Container-Images und Docker-Dateien. Darüber hinaus lassen sich auch SBOMs im SPDX-Format erzeugen.

Zum Thema SBOM traf sich auch die eco Kompetenzgruppe Sicherheit im Mai 2023


[1] SOFTWARE BILL OF MATERIALS | National Telecommunications and Information Administration (ntia.gov)
[2] Software Bill of Materials (SBOM) | CISA
[3] heise.de : Open-Source-Tool-von-Microsoft-erstellt-Software-Bill-of-Materials

Nachbericht: eco Kompetenzgruppe Sicherheit diskutiert IT-Lieferkettensicherheit mit SBOM