SCA und SBOM: Was ist der Unterschied?

Das ist mit ihnen in einer bestimmten Softwareanwendung verbunden. Mithilfe von SCA-Tools wird die gesamte Codebasis einer Anwendung durchsucht, um alle in der Anwendung verwendeten Open-Source-Bibliotheken und -Komponenten herauszufinden. Ihre Versionen werden überwacht und es werden auch die bekannten Schwachstellen für diese Komponenten ermittelt. 

Zweck von SCA

Das Hauptziel von SCA besteht darin, die Risiken zu mindern, die sich aus der Einbindung von OSS-Komponenten ergeben. Dazu zählen Sicherheitsprobleme, die Verwendung alter oder veralteter Bibliotheken/Komponenten und die Notwendigkeit, Open-Source-Lizenzen einzuhalten. Auf diese Weise hilft SCA dabei, solche Risiken zu vermeiden und die angemessene Softwaresicherheit und -konformität während des gesamten Softwarelebenszyklus aufrechtzuerhalten. 

Methodologien der SCA

 SCA-Tools verwenden normalerweise die folgenden Methoden:

1. Abhängigkeitsscan: SCA-Tools bestimmen basierend auf den in den Build-Dateien des Projekts angegebenen Abhängigkeiten (Maven, npm, Gradle usw.) die verwendeten Open-Source-Komponenten. 
2. Binäre Analyse: Einige SCA-Tools können Open-Source-Komponenten in kompilierten Binärdateien erkennen. 
3. Signaturabgleich: SCA-Tools arbeiten auf Basis einer Datenbank identifizierter Open-Source-Komponenten und deren Signaturen, um innerhalb der Anwendung nach Übereinstimmungen zu suchen. 
4. Erkennung von Sicherheitslücken: Alle gefundenen Elemente werden mit den Datenbanken bekannter Schwachstellen (z. B. NVD, CVE) abgeglichen, damit SCA-Tools Sicherheitsbedrohungen erkennen können.

Vorteile von SCA

SCA bietet mehrere Vorteile für das Softwaresicherheitsmanagement:

1. Verbesserte Sicherheit: SCA verhindert die Ausnutzung bekannter Schwachstellen, da es die Open-Source-Komponenten identifiziert, die ausgenutzt werden können, um die Anwendung zu kompromittieren. 
2. Compliance Management: Mithilfe von SCA-Tools werden auch Open-Source-Lizenzen eingehalten, um rechtliche Probleme zu vermeiden.
3. Risk Mitigation: SCA-Tools erstellen ein Risikobild der Software, sodass das Risikomanagement im Voraus erfolgen kann. 
4. Kontinuierliche Überwachung: Die meisten verfügbaren SCA-Tools können die Open-Source-Komponenten kontinuierlich überwachen und die Entwickler über neue Schwachstellen informieren, sobald diese gefunden werden. 

Grundlegendes zur Software-Stückliste (SBOM)

SBOM steht für Software-Stückliste und es ist eine detaillierte Liste aller Komponenten, Bibliotheken und Abhängigkeiten, aus denen die Softwareanwendung besteht. Es enthält Informationen über die Komponente wie den Namen, ihre Version, den Lizenztyp und die Quelle, von der sie installiert wurde. Ein SBOM bietet eine Momentaufnahme der Softwarekomponenten, die für die Bestimmung der Sicherheit der Software und die Minderung von Risiken von entscheidender Bedeutung ist. 

Zweck von SBOM

Das Hauptziel einer SBOM besteht darin, Licht in die Stückliste der Software zu bringen. Eine SBOM legt jede Komponente fest, die in eine Anwendung integriert wurde, und hilft Unternehmen so dabei, ihre Softwarelieferkette, ihr Risikoprofil und ihren Compliance-Status zu verstehen.

Methodologien von SBOM

Zum Erstellen einer SBOM werden normalerweise die folgenden Methoden verwendet: 

1. Komponentenidentifikation: Definieren aller Komponenten, Bibliotheken und Abhängigkeiten, die Teil der Software sind. Sicherheit ist ein wichtiges Thema, insbesondere im Bereich der Softwareentwicklung. Um zu gewährleisten, dass die von uns entwickelte und verwendete Software sicher ist, müssen wir die verschiedenen Teile und die damit verbundenen Risiken verstehen. In diesem Bereich gibt es zwei wichtige Instrumente, nämlich die Software Composition Analysis (SCA) und die Software Bill of Materials (SBOM). Obwohl beide mit der Verbesserung der Softwaresicherheit in Verbindung gebracht werden, unterscheiden sie sich in ihren Funktionen, Ansätzen und Vorteilen. Dieser Artikel konzentriert sich auch auf den Vergleich von SCA und SBOM hinsichtlich ihrer Beziehung, ihres Ziels, Ansatzes und ihrer Vorteile bei der Softwaresicherheitskontrolle. 

2. Software Composition Analysis (SCA) verstehen

3. Analyse der Softwarezusammensetzung (SCA) wird als der Prozess oder Satz von Instrumenten definiert, die bei der Identifizierung der Open-Source-Komponenten, ihres Sicherheitsstatus und der Lizenzen helfen.
4. Metadatensammlung: Sammeln zusätzlicher Informationen zu den Komponenten wie Version, Lizenz und Quelle. 
5. Beziehungen dokumentieren: Dokumentieren und Anzeigen der relativen Verbindungen zwischen den Teilen, aus denen das Softwaresystem besteht. 
6. Automatisierte Tools: Nutzung der Software-Engineering-Automatisierung zum Erstellen und Aktualisieren des SBOM.

Vorteile von SBOM

SBOM bietet mehrere Vorteile für das Softwaresicherheitsmanagement: 

1. Transparenz: Stellt sicher, dass eine klare und detaillierte Dokumentation der Softwarekomponenten vorhanden ist und verbessert so das Verständnis der Lieferkette.
2. Risikomanagement: Dadurch lassen sich die mit Komponenten von Drittanbietern verbundenen Schwachstellen und die damit verbundene Lizenzkonformität erkennen.
3. Compliance: Einhaltung gesetzlicher und industrieller Standards, die die Implementierung von SBOMs erfordern.
4. Vorfallreaktion: Ermöglicht die schnelle Eindämmung von Sicherheitslücken, da Informationen zu den betroffenen Teilbereichen bereitgestellt werden. 

Wichtige Unterschiede zwischen SCA und SBOM

SCA und SBOM beziehen sich also auf das Management der Softwaresicherheit, haben aber unterschiedliche Funktionen und Ziele. Hier sind die wichtigsten Unterschiede zwischen SCA und SBOM: 

1. Umfang und Schwerpunkt

• SCA: Konzentriert sich auf Verfahren zum Auffinden und Verhindern der Integration von Open-Source-Elementen in eine Anwendung. Sein Hauptzweck besteht darin, vorhandene Schwachstellen zu identifizieren und Lizenzen zu verwalten. 
• SBOM: Listet alle in einer Anwendung vorhandenen Klassen, Bibliotheken und Abhängigkeiten auf und ermöglicht deren einfache Katalogisierung. Das Hauptziel dieses Frameworks besteht darin, die Transparenz zu erhöhen und Risiken in der Software-Lieferkette zu mindern. 

2. Methodik

• SCA: Identifiziert Open-Source-Komponenten durch den Abhängigkeitsscan-Mechanismus, die Binäranalyse und den Signaturabgleich, um Schwachstellen zu erkennen. 
• SBOM: Umfasst die Identifizierung aller Elemente, das Sammeln von Metadaten und das Aufzeichnen von Interaktionen, um eine detaillierte Auflistung der Softwarekomponenten zu erstellen. 

3. Output und Ergebnisse

• SCA: Erstellt Berichte über die entdeckten Schwachstellen, Lizenzverstöße und Risikobewertungen der Open-Source-Komponenten. 
• SBOM: Erstellt einen Inventarbericht, der alle aufgeführten Komponenten zusammen mit ihrer Version, ihren Lizenzen und ihrer Quelle enthält und in welcher Beziehung sie zu anderen Komponenten stehen.

4. Anwendungsfälle

• SCA:
  •  Scannen und Beheben identifizierter Probleme bekannter Schwachstellen in Open-Source-Bibliotheken. 
  • Einhaltung der Lizenzen von Open-Source-Software. 
  • Ständiges Scannen der Open-Source-Komponenten auf neue Schwachstellenberichte. 
• SBOM:
  • Verbessern der Sichtbarkeit der Verbindungen in der Software-Lieferkette. 
  • Ermöglichung des Risikomanagementprozesses durch Bereitstellung aller erforderlichen Informationen zu den verfügbaren Softwarekomponenten. 
  •  Erfüllen Sie die Richtlinien von Vorschriften und Branchen, die die Verwendung von SBOMs vorschreiben. 
  •  Unterstützung bei der Reaktion auf Vorfälle durch Bereitstellung ausführlicherer Beschreibungsdaten zu den betroffenen Komponenten. 

Beziehung zwischen SCA und SBOM

SCA und SBOM sind Tools, die synergetisch implementiert werden können, um das Softwaresicherheitsmanagement zu verbessern. Während sich SCA auf Risiken im Zusammenhang mit Open-Source-Komponenten konzentriert, bietet SBOM ein umfassenderes Bild der Zusammensetzung der Software, die sowohl proprietäre als auch Drittanbieter-Elemente enthält. Die Kombination von SCA und SBOM stellt sicher, dass das Gesamtbild der Software des Unternehmens erstellt und das Risiko erfolgreich gemindert wird. 

Beispiel für integrierte Nutzung

Angenommen, eine Organisation plant die Erstellung einer Webanwendung und verwendet dabei zahlreiche Open-Source-Bibliotheken und Komponenten von Drittanbietern. So können SCA und SBOM integriert werden, um die Sicherheit zu verbessern:

1. Generieren der SBOM: Von der Organisation wird automatisch eine SBOM erstellt, die Informationen zu allen in der Anwendung verwendeten Komponenten, Bibliotheken und Abhängigkeiten, deren Version, Lizenzen und Herkunft enthält. 
2. Durchführen einer SCA: Die Organisation verwendet SCA-Tools, um nach Schwachstellen in den Elementen der Anwendung zu suchen, die auf Open-Source-Code basieren. Die identifizierten Komponenten werden mit den Schwachstellendatenbanken verglichen und der Bericht über die aufgedeckten Schwachstellen wird vom SCA-Tool erstellt. 
3. Management von Risiken: Mit dieser Struktur verwendet die Organisation das SBOM, um die vollständige Zusammensetzung der Anwendung und die Interaktionen zwischen ihren Elementen zu identifizieren. Das SBOM hilft bei der Definition von Risiken im Zusammenhang mit Drittanbieter- und proprietären Komponenten, die vom SCA-Tool nicht erkannt werden. 
4. Kontinuierliche Überwachung: Die Organisation aktualisiert das SBOM immer und führt regelmäßig SCA-Scans durch, um nach neuen Schwachstellen zu suchen und die Einhaltung der Lizenzbestimmungen zu überprüfen. Gemeinsam bieten SCA und SBOM eine ganzheitliche Bewertung der Sicherheitslücken in der Software und ermöglichen eine effiziente Risikominderung. 

Vorteile des Software-Sicherheitsmanagements

Die Integration von SCA und SBOM bietet mehrere Vorteile für das Software-Sicherheitsmanagement:

1. Umfassendes Risikomanagement: Durch die Integration der Fähigkeit von SCA zum Identifizieren von Schwachstellen mit der Transparenz von SBOM in die Software-Stückliste können Risiken in Organisationen besser angegangen werden. 
2. Verbesserte Sichtbarkeit: SBOM bietet eine klare Darstellung aller Softwarekomponenten und verbessert so die Gesamttransparenz der Software und ihrer Lieferkette. 
3. Proaktive Sicherheit: SCA ermöglicht die frühzeitige Erkennung und Beseitigung von in Open-Source-Komponenten eingebetteten Bedrohungen, um Sicherheitsbedrohungen vorzubeugen. 
4. Compliance-Versicherung: Diese beiden, nämlich SCA und SBOM, helfen dabei, rechtliche Konsequenzen zu vermeiden, die mit der Nichteinhaltung von Vorschriften und Standards verbunden sind.
5. Effiziente Reaktion auf Vorfälle: Die detaillierten Daten von SBOM ermöglichen während eines Sicherheitsvorfalls eine schnelle Erkennung und Entfernung der kompromittierten Komponenten. 

Best Practices für zentralisiertes SBOM-Management

 Da SBOMs immer häufiger in C-SCRM-Standards enthalten sind, ist die Verwaltung eines SBOM für Unternehmen von entscheidender Bedeutung. NSA und CISA haben Maßnahmen für das SBOM-Management bereitgestellt, die Aspekte der Authentizität, Integrität und Vertrauenswürdigkeit der Softwareprodukte berücksichtigen. 

Die Schaffung einer hochrangigen zentralisierten SBOM-Verwaltungsplattform kann Organisationen, die ihre Softwaresicherheit verbessern möchten, neue Möglichkeiten eröffnen. Diese Plattformen bieten einen umfassenden Überblick über alle Softwarekomponenten und die mit ihnen verbundenen Risiken und verbessern so die Verwaltung der Softwarelieferketten in Organisationen. Im folgenden Abschnitt geben wir einen genaueren Einblick in die Elemente dieses Konzepts sowie in die Empfehlungen der NSA und CISA zur ordnungsgemäßen Verwendung einer zentralisierten SBOM-Verwaltungsplattform. 

Schlüsselfunktionen einer zentralisierten SBOM-Management-Plattform

1. SBOM-Eingabe- und Ausgabeverwaltung:
   • Unterstützung für mehrere Formate: Es muss verschiedene Versionen des SBOM-Formats wie Cyclone DX und das standardisierte SBOM-Format SPDX unterstützen und berücksichtigen. Es sollte in der Lage sein, SBOMs im Format JSON, XML und CSV zu exportieren und zu importieren. 
   • Konformitätsprüfungen: Es sollte die Struktur und Formatsyntax der SBOM-Datei anhand der korrekten Formatspezifikation überprüfen. Eine Autokorrekturfunktion, die beim Normalisieren und Korrigieren einer SBOM-Datei während des Imports hilft, ist nützlich. 
   • Aggregation und Konvertierung: Es sollte möglich sein, mehrere SBOMs zu sammeln und ein Format und/oder einen Typ der SBOM-Datei in ein anderes zu übersetzen. 
2. Generieren und Verarbeiten von SBOMs:
   • Komponentenidentifikation: Es sollte die grundlegenden SBOM-Felder enthalten, einschließlich Lieferantenname, Teilename, Teilekennung, Teileversion, Teileabhängigkeit und Teileautor. 
   • Abhängigkeitszuordnung: Es werden Schnittstellenfunktionen benötigt, um die Abhängigkeiten der Komponenten visuell zu beschreiben und die Komponentenherkunftsdaten, einschließlich externer Anreicherungen, anzuzeigen. 
3. Validierung und Schwachstellenverfolgung:
   • Integritätsvalidierung: Die Hash-Informationen jeder Komponente müssen aufgezeichnet und angezeigt werden. Außerdem müssen digitale Signaturen für SBOM und die Integrität der Komponente bereitgestellt werden. Weitere zugehörige Links, unter denen die Daten zur Herkunft gesammelt wurden, müssen ebenfalls bereitgestellt werden. 
   • Kontinuierliche Updates: Die Plattform sollte täglich aus den Schwachstellendatenbanken aktualisiert werden und die Benutzer über neue Schwachstellen und Updates informieren. Sie sollte in der Lage sein, zwischen neuen Schwachstellen und dem Update der vorherigen zu unterscheiden und Informationen zur Priorisierung von Schwachstellen- und Risikoreaktionen bieten. 
   • Threat Intelligence-Integration: Die Kombination mehrerer Quellen für Bedrohungsinformationen und die einzigartige Möglichkeit, beim Bereitstellen der Richtlinien organisationsspezifische Richtlinienregeln anzuwenden, stärken die Plattform zusätzlich. 
4. Benutzeroberfläche und Integration:
   • Benutzerfreundliche Oberfläche: Es sollte an Standards der Mensch-Computer-Schnittstelle (HCI) gebunden sein, zugänglich sein und die Auswertung von Informationen erleichtern. Es gibt wichtige Methoden und Formate zur grafischen Darstellung von Informationsattributen über Softwarekomponenten, Schwachstellen, Lizenzen, Lieferanten, Benutzer und Benutzerorganisationen. 
   • APIs und Ökosystemintegration: Durch das „API First“-Design können Daten problemlos und auch automatisiert zwischen dem System und anderen Systemen übertragen werden. 
5. Skalierbare Architektur und Konfigurationsmanagement:
   • Unterstützung für Unterorganisationen: Die Plattform sollte Möglichkeiten enthalten, bestimmte Unterorganisationen in einem Unternehmen anzusprechen, bei denen voraussichtlich andere Regeln oder Richtlinien hinsichtlich der Risikotoleranz gelten. 
   • Umfassendes Konfigurationsmanagement: Es sollte eine Lösung für die Skalierung des SBOM-Konfigurationsmanagements bieten, beispielsweise wie SBOMs strukturiert werden und wie Änderungen versioniert und nachverfolgt werden. Es sollte auch Möglichkeiten enthalten, wie SBOMs verschiedener Versionen derselben Software überprüft und gegenübergestellt werden können. 

Implementierung eines zentralisierten SBOM-Managements: Best Practices

 Die Implementierung einer zentralisierten SBOM-Verwaltungsplattform erfordert mehrere bewährte Methoden, um ihre Wirksamkeit und Effizienz sicherzustellen:

1. Richten Sie einen sicheren Austauschpunkt ein: Es sollte eine gemeinsame Basis geschaffen werden, die für Softwareanbieter und -verbraucher sicher ist. Dies trägt zum Schutz des geistigen Eigentums bei und fördert die Zuverlässigkeit, Genauigkeit und Aktualität der Daten beim SBOM-Informationsaustausch. 
2. Integrieren Sie SBOM-Daten in andere Sicherheitssysteme: Integrieren Sie SBOM-Daten mit Daten aus den Bereichen Beschaffungssicherheit, Asset Management, Bedrohungsinformationen und Schwachstellenmanagement. Die Integration hilft dabei, die Risiken aufzuzeigen, denen ein Softwareentwicklungsunternehmen bei der Auswahl seiner Lieferanten und Auftragnehmer ausgesetzt sein kann, und verbessert die allgemeine Sicherheit der Softwarelieferkette. 
3. Automatisieren Sie die SBOM-Generierung und -Verwaltung: Setzen Sie die Automatisierung der SBOM-Generierung und -Verwaltung aus verschiedenen Arten von Softwareentwicklungsprozess-Ergebnissen ein. Der Einsatz von Automatisierung garantiert, dass die SBOMs aktuell und so präzise wie möglich sind.
4. Kontinuierliche Überwachung und Aktualisierung: Verankern Sie die ständigen Überwachungs- und Aktualisierungsprozesse, die dazu beitragen, neue Schwachstellen zu erkennen und sie in das aktuelle SBOM zu integrieren, um den neuesten Stand der Softwarezusammensetzung und der Risiken anzuzeigen.
5. Risikobewertung und Priorisierung: Erstellen Sie eine Risikobewertungsmethode, um die Risikostufen und die mit Softwarekomponenten verbundenen Risiken einschließlich der Anfälligkeiten zu bewerten. Dies hilft bei der Entscheidungsfindung im Risikomanagement und bei der Beseitigung von Schwachstellen. 
6. Benutzerschulung und -bewusstsein: Informieren Sie die geschulten Benutzer über die Verwendung der SBOM-Verwaltungsplattform und die Informationen, die sie wahrscheinlich von der Plattform abrufen werden. Daher sind Bewusstsein und Schulung von entscheidender Bedeutung, um das volle Potenzial der Plattform auszuschöpfen.
7. Regelmäßige Audits und Bewertungen: Überprüfen und bewerten Sie die Erstellung von SBOMs stets, um sicherzustellen, dass keine Inhalte fehlen und die SBOM-Verwaltungsplattform effizient ist. Dies hilft bei der Identifizierung der Mängel und der Bereiche, die verbessert werden müssen. 

Zusammenfassung

Software Composition Analysis (SCA) und Software Bill of Materials (SBOM) sind entscheidend für die Verbesserung des Softwaresicherheitsmanagements. SCA wird verwendet, um Risiken im Zusammenhang mit der Verwendung von Open-Source-Komponenten zu bewerten und zu mindern, während SBOM einen detaillierten Katalog aller Komponenten erstellt, wodurch die Transparenz verbessert und das Risikomanagement erleichtert wird. Auf diese Weise trägt die erfolgreiche Kombination von SCA und SBOM dazu bei, ein klareres Verständnis des Softwaresicherheitsprofils des Unternehmens zu erlangen und Risiken zu managen. 

 Die Erweiterung einer effektiven Lösung zur Verwaltung des SBOM auf eine zentrale Plattform unterstreicht die Bedingungen für das Risikomanagement in der Software-Lieferkette. Solche Plattformen bieten umfassende Risikobeschreibungen, ständiges Echtzeit-Tracking und Updates und tragen dazu bei, sicherzustellen, dass alle Anforderungen erfüllt werden. Wenn die Anleitung effektiv umgesetzt und die bereitgestellten Funktionen von SBOM-Verwaltungsplattformen genutzt werden, werden die Cybersicherheit einer Organisation und die Sicherheit der Software-Lieferkette erheblich gestärkt. 

 Ausführlichere Anleitungen zum SBOM-Management finden Sie in den Empfehlungen der NSA und CISA in den Dokumenten „Sicherung der Software-Lieferkette: Dies sind die „Best Practices für die Verwendung von Software-Stücklisten“ und „Empfehlungen für die Verwaltung von Software-Stücklisten (SBOM)“. 

Zusammenhängende Artikel

Die Zukunft von SBOM planen: Erkenntnisse aus dem neuen Leitfaden von CISA: Shifting the Balance of Cybersecurity Risk

Im April 2023 veröffentlichte CISA einen neuen gemeinsamen Leitfaden für Softwaresicherheit mit dem Titel „Shifting the Balance of Cybersecurity Risk: Security-by-Design and Default Principles“. Der Leitfaden wurde in Zusammenarbeit mit neun verschiedenen Behörden erstellt, darunter unter anderem der NSA, dem Australian Cyber ​​Security Centre (ACSC) und dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Tatsache, dass […]

SBOM-Tools zur Rettung – das XZ Utils Backdoor Case

Was ist die Hintertür von XZ Utils (CVE-2024-3094)? CVE-2024-3094, veröffentlicht Anfang April 2024, ist eine Backdoor, die böswillig in ein Linux-Dienstprogramm eingefügt wurde. Es wurde von Andres Freund, einem neugierigen und sicherheitsbewussten Microsoft-Softwareentwickler, entdeckt, der kurz vor der Integration in die wichtigsten Linux-Distributionen stand. Wäre dies gelungen, wäre eine unvorstellbare Anzahl von Servern […]

Was hält die Zukunft für VEX bereit? Und wie würde es sich auf Sie auswirken?

Die Geschwindigkeit, mit der neue Schwachstellen aufgedeckt werden, nimmt ständig zu. Derzeit liegt sie bei durchschnittlich 15,000 CVEs pro Jahr. Das Jahr 2022 sticht mit über 26,000 gemeldeten neuen CVEs hervor. Offensichtlich sind nicht alle Schwachstellen für Ihre Software relevant. Um herauszufinden, ob eine bestimmte Sicherheitslücke ein Problem darstellt, müssen Sie zunächst herausfinden, […]