Kennen Sie Ihre IT- Schwachstellen?
Software Bill of Materials (SBOM)
Qualitätssicherung
Anforderungs-Engineering
Wie die automatisierte Erstellung und Pflege von Software Bill of Materials (SBOM) Ihre IT-Sicherheit stärkt, indem Schwachstellen wesentlich schneller erkannt und behoben werden können.
Abstract
Software Bill of Materials oder kurz SBOMs sind Auflistungen aller Komponenten eines Softwareprodukts. Das Erstellen und Pflegen solcher SBOMs zahlt aktiv auf die Optimierung der IT-Sicherheit Ihres Unternehmens ein, denn sie ermöglichen:
Mehr Transparenz
Was wird genutzt und in welcher Version?
Genauere Risikobewertung
Welche Schwachstellen haben die verwendeten Komponenten im jeweiligen Softwareprodukt und wie gefährlich sind diese für Ihr Unternehmen?
Größere Sicherheit
Wie können die festgestellten Schwachstellen behoben werden?
Das Erstellen und Pflegen von SBOMs sichert Sie ab, wenn Sie international agieren und Compliance-Vorgaben erfüllt werden müssen. Auch in der EU werden das Erstellen und Pflegen von SBOMs bald zum Standard gehören.
Das manuelle Erstellen der SBOMs kann jedoch zeitaufwendig sein. Unsere Lösung: Wir automatisieren das Scannen der SBOMs, denn das …
… spart Zeit – vor allem, wenn zahlreiche unterschiedliche Applikationen genutzt werden
… ermöglicht ein Reagieren in Echtzeit auf Schwachstellen und Sicherheitslücken
So wird Ihre gesamte IT-Infrastruktur gestärkt und widerstandsfähiger gegen Angriffe von außen.
Mit der Erstellung von SBOMs und dem automatisierten Scannen stellen Sie bereits heute die Weichen für eine sichere und damit zukunftsfähige IT-Landschaft in Ihrem Unternehmen.
Geschäftsumfeld
Dezember 2021: Mitten in der Vorweihnachtszeit, während viele schon mit den Gedanken bei Familienfeiern, Plätzchenbacken und Glühweintrinken waren, tauchten in der weit verbreiteten Java-Bibliothek Log4j mehrere Schwachstellen auf, die laut BSI zunächst als kritisch eingestuft wurden. Auch wenn es Hinweise gab, dass die Schwachstellen international ausgenutzt wurden, blieb der befürchtete Angriff mitten in den Weihnachtsfeiertagen zumindest in Deutschland aus (Quelle, abgerufen am 17.10.2023).
Sicherheitslücken, wie die Log4j-Schwachstellen stellen nicht die einzige Bedrohung für moderne IT-Infrastrukturen dar: In der heutigen Softwareentwicklung kommen immer mehr Open-Source-Komponenten zum Einsatz. Dem Open Source Security and Risk Analysis (OSSRA) Bericht von Synopsys Inc. zufolge, stieg die Anzahl von Schwachstellen mit einem hohen Risiko in den letzten fünf Jahren im Bereich Einzelhandel und E-Commerce um satte 557 % (Quelle, abgerufen am 18.10.2023). Aber auch bei verkäuflichen Softwareprodukten ist man vor Schwachstellen nicht gefeit, wenn diese Open-Source-Komponenten verwenden, die veraltet sind. Laut dem Bericht von Synopsys enthalten 88 % der getesteten kommerziellen und proprietären Codebasen veraltete Versionen von verwendeten Open-Source-Komponenten – einschließlich der o. g. anfälligen Log4j-Versionen. Und dass, obwohl ein Update oder Patch verfügbar wären (Quelle, abgerufen am 18.10.2023).
Sicherheit versprechen auch die immer beliebter werdenden Cloudlösungen nicht. Denn in diesen Umgebungen wird das sog. Shared-Responsibility-Modell angewendet, bei dem der Cloud-Anbieter und der Nutzer unterschiedliche Sicherheitsverantwortlichkeiten haben. So ist der Cloud-Anbieter nur für die Sicherheit der Cloud als Gesamtkonzept zuständig. Das betrifft bspw. die physische Sicherheit der Rechenzentren, die Infrastruktur, Netzwerkgeräte oder die Virtualisierungsschicht. Der Cloud-Nutzer hingegen trägt die Verantwortung für die Sicherheit in der Cloud. Dies beinhaltet bspw. die Sicherheit der Daten, Anwendungen, Betriebssysteme, Netzwerkzugriffe und das Identitäts- und Zugriffsmanagement. Ein häufiges Missverständnis bei Cloud-Nutzern ist die Annahme, dass der Cloud-Anbieter alle Sicherheitsaspekte abdeckt, was jedoch nicht dem Shared-Responsibility-Modell entspricht. Dies führt oft zu einem falschen Sicherheitsgefühl. Cloud-Anbieter bewerben zwar ihre fortgeschrittenen Sicherheitsmaßnahmen, doch dies sollte Nutzer nicht davon abhalten, eigene Sicherheitsmaßnahmen zu ergreifen, um ihre Daten und Anwendungen zu schützen und eine umfassende Sicherheitsstrategie in der Cloud-Umgebung zu gewährleisten.
Eine bewährte Methode, die eigenen Systeme kennenzulernen, Sicherheitslücken und veralteten Software-Komponenten auf die Spur zu kommen, sind sog. Software Bills of Materials (kurz SBOMs). Sie schaffen Transparenz in der Softwareentwicklung und -Pflege und helfen, mehr Sicherheit in die eigene IT-Landschaft zu bringen.
Was sind SBOMs?
Eine SBOM ist eine umfassende Liste aller Softwarekomponenten und -bibliotheken, die in einem Softwareprodukt oder -system enthalten sind. SBOMs liefern wichtige Informationen über die Version, den Ursprung, die Lizenzen und die Abhängigkeiten jeder Komponente eines Softwareprodukts oder -systems.
Transparenz & Sicherheit – Die Vorteile von SBOMs
SBOMs sind ein entscheidendes Werkzeug für mehr Transparenz und Sicherheit in Softwareprodukten. Sie ermöglichen Entwicklerinnen und Entwicklern, Sicherheitslücken und Schwachstellen frühzeitig zu erkennen und zu beheben. Durch die Erstellung und Aktualisierung von SBOMs können Organisationen die mit der Nutzung bestimmter Softwarekomponenten verbundenen Risiken besser bewerten und entsprechende Maßnahmen ergreifen.
Zusätzlich erleichtern SBOMs die Identifizierung von Abhängigkeiten und Versionskonflikten, was dazu beiträgt, die Qualität der Softwareanwendung sicherzustellen. Darüber hinaus helfen sie Organisationen, gesetzliche Vorschriften, Branchenstandards oder Lizenzen der verwendeten Softwarekomponenten einzuhalten, indem sie einen klaren Überblick über alle in ihrer Software verwendeten Komponenten bieten. Dies hilft dabei, potenzielle rechtliche Probleme zu vermeiden. Wer z.B. Unternehmen aus den USA zum Kundenstamm zählen möchte, ist seit Mai 2021 verpflichtet, eine SBOM für jedes seiner Softwareprodukte bereitzustellen (Quelle, abgerufen am 18.10.2023).
Und auch Europa rüstet auf: Mit dem am 15. September 2022 durch die Europäische Kommission veröffentlichten Entwurf einer Verordnung mit der Bezeichnung „Cyber Resilience Act“ (kurz: CRA-E), die für mehr Cyber-Sicherheit bei Produkten mit digitalen Bestandteilen sorgen soll (Quelle, abgerufen am 17.10.2023), wird das Erstellen und Pflegen von SBOMs in naher Zukunft auch in Europa eine feste Vorgabe in der Softentwicklung sein. Das Marktforschungsunternehmen Gartner geht davon aus, dass bis 2025 60 % der Unternehmen, die geschäftskritische Softwarelösungen beschaffen, die Offenlegung von SBOMs in ihren Lizenz- und Supportverträgen vorschreiben werden. 2022 waren es noch weniger als 5 % (Quelle, abgerufen am 17.10.2023). Wer hier mit seinen Softwarelösungen rechtlichen Standards entsprechen und langfristig wettbewerbsfähig bleiben möchte, wird um das Erstellen und Pflegen von SBOMs nicht mehr herumkommen (Quelle, abgerufen am 18.10.2023).
Herausforderung: Manuelle Pflege der SBOMs
Unsere Lösung: Automatisierung
Um mehr über unsere Arbeitsweise zu erfahren und Zugang zu unseren exklusiven Inhalten zu erhalten, schreiben Sie uns bitte einfach:
Um die Handhabung von SBOMs im DevOps-Bereich effizienter zu gestalten, haben wir bei Thalia Digital Retail Solutions uns für eine automatisierte Lösung entschieden, die auf bewährten Technologien und Plattformen basiert. Diese umfassen ein Continuous Integration (CI) System, ein Open-Source-Security-Tool und eine Component-Analysis-Platform zur Verwaltung von SBOMs und Sicherheitsrisiken.
Weitere Details und die sich daraus ergebenden Vorteile erhalten Sie, indem Sie sich über den Button exklusiven Zugang sichern.
SBOMs gehören für uns bereits zum Standard
Insgesamt ermöglicht die Automatisierung der Erstellung und Pflege von SBOMs eine effizientere Verwaltung von Softwareabhängigkeiten und Sicherheitsaspekten im Vergleich zu manuellen Prozessen. Die fortlaufende Überwachung und Aktualisierung in Echtzeit spart Zeit und verbessert die Gesamteffizienz unserer Sicherheitsprozesse.
Dank der höheren Transparenz über unsere Softwarekomponenten und deren Abhängigkeiten können mögliche Risiken erkannt und behoben werden. Die Automatisierung der Erstellung und Pflege von SBOMs hat sich als wertvolles Instrument zur Verbesserung der Sicherheit und Effizienz in unserer Softwareentwicklung erwiesen. Hat das manuelle Scannen je nach Projekt Stunden oder sogar Tage gedauert, können Projekte nun in Sekundenschnelle gescannt werden. Schwachstellen werden so noch schneller erkannt und können zeitnah behoben werden: Seit der Implementierung der automatisierten Lösung hat sich die Anzahl der identifizierten und behobenen Sicherheitslücken verdoppelt. Durch die Implementierung dieser Lösung konnten wir nicht nur die Qualität unserer Softwareprodukte verbessern, sondern auch die Zufriedenheit unserer Kunden und unserer Mitarbeitenden steigern. Wir glauben, dass diese Art der Automatisierung eine wesentliche Rolle in der Zukunft der Softwareentwicklung spielen wird, und ermutigen andere Unternehmen, den Einsatz von automatisierten SBOMs in Betracht zu ziehen.
Wir sind bestrebt, unseren Kunden die besten Produkte und Dienstleistungen zu bieten und gleichzeitig ein sicheres und transparentes Arbeitsumfeld für unsere Mitarbeitenden zu schaffen. Unsere Mission ist es, die Softwareentwicklung durch den Einsatz innovativer Technologien und Best Practices zu revolutionieren.
Möchten Sie mehr über unsere Arbeitsweise erfahren?
Dann kontaktieren Sie uns, um zu erfahren, wie unsere agilen, innovativen, cross-funktionalen Teams arbeiten und digitale Produkte und Erlebnisse kreiert haben. Wir freuen uns auf den Austausch!
Kontakt
Digital Retail Solutions ist das Digitalstudio der
