Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Regeln für Software Bills of Materials (SBOM) erstellt. Mit diesen Übersichtslisten will man Problemen wie dem Log4J-Sicherheitsdebakel vorbeugen.
Das BSI verfolgt das Ziel, Firmen und öffentliche Verwaltungen in der Absicherung von Software-Lieferketten zu unterstützen. Dadurch sollen die negativen Folgen von Vorfällen wie Log4j minimiert werden. Am Freitag hat die Bonner Behörde eine Technische Richtlinie (TR) zur Cyber-Resilienz herausgegeben, die formelle und sachliche Anforderungen an SBOM enthält. Dabei handelt es sich um ein maschinenlesbares Dokument, welches eine elektronische Liste von Teilen und Code-Abhängigkeiten darstellt.
Software-Inventardatenbank als SBOM
Diese Listen führen die Komponenten eines Softwareprojekts vollständig auf, einschließlich direktem Quelltext und internen und externen Verweisen zu beispielsweise verwendeten Open-Source-Paketen. Da diese oft von anderen Projekten abhängen, müssen sie ebenfalls in der SBOM verzeichnet sein. Die Struktur und Tiefe der Informationen können variieren, wie das BSI in TR-03183 anmerkt, und reichen von einer groben Übersicht bis zu einer detaillierten Auflistung von Produkten und Komponenten. Verschiedene Formate stehen für die Übertragung einer SBOM zur Verfügung, zu denen im Dokument Hinweise gegeben werden.
Laut BSI sollte eine SBOM bei jedem Software-Ersteller und -Anbieter vorliegen, um Transparenz zu gewährleisten. Dies ist unerlässlich, um schnell feststellen zu können, welche Komponenten wie Bibliotheken verwendet werden. Es gilt als Best Practice für eine sichere Software-Lieferkette, die auch bei Vorfällen wie Log4J hilfreich wäre.
Automatisierung ist der Schlüssel
Die Vielzahl an Informationen und mögliche Strukturunterschiede in SBOM bedeuten einen erheblichen Aufwand, dem nur durch Automatisierung effizient begegnet werden kann. Mit einem entsprechenden Verzeichnis lässt sich prüfen, ob ein Produkt von Schwachstellen betroffen sein könnte, wobei zusätzliche Sicherheitshinweise wie CVE berücksichtigt werden müssen. Die TR enthält eine detaillierte Aufstellung erforderlicher Datenfelder zur SBOM.
SBOM-Pflicht in der EU bereits in Arbeit
Bereits vorhandene Open-Source-Tools wie Cilium beinhalten SBOMs. GitHub hat eine Funktion zur Erstellung solcher Übersichten eingeführt, und auch Microsoft und Google bieten ähnliche Funktionen an. Der Cyber Resilience Act-Entwurf der EU-Kommission enthält eine Pflicht zur Erstellung einer SBOM, auf die das BSI hinweist. Produkte mit digitalen Elementen würden erfasst, und ein verbindliches Schwachstellenmanagement würde eingeführt. In den USA existieren seit Mai 2021 ähnliche Regeln für Behörden und seit März für Medizinprodukte. Auch der EU-Rat hat die Sicherheit von IT-Lieferketten ins Rampenlicht gerückt.