Ihre SBOM. Wasserdicht.

In einerSoftware Bill of Materials, kurz SBOM, werden sämtliche Komponenten festgehalten, aus denen sich ein Software-Produkt zusammensetzt. Dies umfasst Bibliotheken aus externen Open-Source-Quellen und Pakete von Drittanbietern ebenso wie intern entwickelte Artefakte.

Erst durch eine lückenlose Bestandsaufnahme der Einzelkomponenten einer Anwendung anhand adäquater Security-Tools etwa für Software Composition Analysis lassen sich sicherheits- und lizenzbezogene Risiken im Zusammenhang mit ihrer Entwicklung und Nutzung zuverlässig erfassen. Noch mehr gilt dies angesichts der Dynamik, mit der sich die einer Anwendung zugrunde liegenden Komponenten und ihre Versionen im Zuge agiler Software-Entwicklung ändern. Eine SBOM, idealerweise in standardkonformer Ausfertigung, kann hier lückenlos Aufschluss über den Status quo liefern.

CycloneDX und SPDX sind derzeit am weitesten verbreitet, wenn es um SBOM-Standards mit Fokus auf Security geht. Abhängig von den Anforderungen Ihres Projekts eignet sich der eine Standard womöglich besser als der andere, prinzipiell können Sie aber auch beide gleichzeitig umsetzen. Mit einem einheitlichen, rechtsverbindlichen Standard ist in absehbarer Zeit nicht zu rechnen. Vielmehr werden nach Einschätzung der US-Behörde für Cyber- und Infrastruktursicherheit CISA und Vertretern der Branche zunächst diverse Formate in der SBOM-Landschaft kursieren.

Mit CycloneDX hat das Open Worldwide Application Security Project (OWASP) einen Standard für AppSec-Kontexte sowie die Analyse von Komponenten in der Software-Lieferkette entwickelt, der die Erfassung sämtlicher intern entwickelter und Drittanbieter-Elemente einer Anwendung erleichtert. Neben Use Cases rund um Software-Bibliotheken werden dabei auch Standards wie Software-as-a-Service-BOM (SaaSBOM) und Vulnerability Exploitability Exchange (VEX) unterstützt. Als Open-Source-Projekt mit Apache 2.0 Lizenzierung kann der Standard frei genutzt werden. Das zugehörige Repository ist unter https://github.com/CycloneDX/specification abrufbar und steht der Entwickler-Community offen für Beiträge zur Verfügung.

Software Package Data Exchange bzw. SPDX ist ein weiterer Standard zum SBOM-Tracking, der die Erfassung von Komponenten, Lizenzen, Copyright- und Security-Informationen sowie weiterer Metadaten ermöglicht. Ins Leben gerufen wurde er von der Linux Foundation mit dem Ziel, wichtige Software-Daten in einem einheitlichen Format austauschbar zu machen. Unnötige Mehrarbeit soll dadurch vermieden werden, während zugleich Compliance, Sicherheit und Verlässlichkeit gestärkt werden. Wie auch seine Urheberin baut SPDX auf den Grundsätzen der Open-Source-Community auf. Alle Details zum Standard finden Sie in der vollständigen SPDX-Spezifikation sowie im GitHub-Repository zu SPDX.