Immer mehr Unternehmen erkennen die Bedeutung einer aktuellen SBOM als Teil jedes Produkts und jeder neuen Version. Sogar die NSA veröffentlichte ein Papier Ermutigung von Unternehmen, dieses Tool einzuführen, um das Cyber-Bewusstsein zu erhöhen und ihre Software-Lieferketten besser zu schützen. Selbst wenn Sie zu dem Schluss gekommen sind, dass die Erstellung einer SBOM das Richtige ist, sind Sie möglicherweise unsicher, wie Sie dabei vorgehen, welche Tools Sie verwenden oder wie Sie diese implementieren sollen. Es gibt mehrere SBOM-Generierungstools auf dem Markt, einige sind proprietär, andere kostenlos und einige sind Open-Source-Tools. In diesem Artikel besprechen wir, welche Schlüsselfunktionen Ihr SBOM-Generierungstool haben sollte, damit es das richtige für Ihre Anforderungen ist.
SBOM-Formate
Es gibt zwei große SBOM-Formate heute auf dem Markt verwendet: SPDX und CycloneDX.
Softwarepaket-Datenaustausch (SPDX) ist ein maschinenlesbares Open-Source-SBOM-Projekt der Linux Foundation. Die neueste Version des SPDX wurde im Einklang mit dem NTIA-Standard für „Mindestelemente für eine Software-Stückliste.' Es listet die Komponenten, Urheberrechte, Lizenzen und Sicherheitshinweise einer Software auf.
CycloneDX (CDX) ist ebenfalls ein Open-Source- und maschinenlesbares SBOM-Format, das von der Open Web Application Security Project (OWASP)-Community entwickelt wurde. Als Stücklistenformat bietet CycloneDX weitere Anwendungen als die Erstellung von Software-Stücklisten. Es kann auch zum Kompilieren von Komponenten, Schwachstellen und Diensten von Hardware- und Cloud-Systemen verwendet werden.
Bevor Sie beginnen, die verschiedenen Tools auszuprobieren, überlegen Sie, welches Format Ihren Anforderungen am besten entspricht. Berücksichtigen Sie am besten nicht nur die aktuelle Zeit, sondern auch Ihre zukünftigen Bedürfnisse, denn sobald Sie sich auf ein bestimmtes Format festgelegt haben, wird es Ihnen wahrscheinlich leichter fallen, dabei zu bleiben. Berücksichtigen Sie die Verwendungsmöglichkeiten Ihrer SBOMs und die Tools, die Sie zur Analyse der Daten verwenden werden. Wenn Sie sich nicht sicher sind, welches Format Sie wählen sollen, suchen Sie nach einem Tool, das beide Formate generieren kann.
Hauptmerkmale der SBOM-Tools
Hier sind einige Funktionen, auf die Sie bei einem guten SBOM-Generierungstool achten sollten:
SBOM-Sammlung sowohl vom SCM als auch vom Endprodukt – Die vollständige Abdeckung Ihres Produkts ist der Schlüssel zu einer guten SBOM. Es ist bekannt, dass Sie in der Entwicklungsphase nicht immer alle Abhängigkeiten berücksichtigen und in das Projekt integrieren – das geschieht normalerweise erst bei der endgültigen Kompilierung am Ende Ihrer CI/CD-Pipeline. Wenn Sie eine SBOM von Ihrem SCM und Ihrem Endprodukt erhalten, können Sie die beiden vergleichen und außerdem sicherstellen, dass in den Phasen dazwischen keine unerwünschten Änderungen an Dateien oder Ordnern vorgenommen wurden. Der Vergleich von Dateien und Ordnern zwischen SBOMs kann durch Vergleich der jeweils berechneten Hash-Werte erfolgen. Ein Tool, das dies automatisch tun kann, würde Ihnen viel Zeit und Sorgen ersparen.
SBOM-Analyse – Die SBOM ist eine Datei mit vielen Daten. Es ist am besten, eine Software zu entwickeln, die die Daten analysiert, um die Erkenntnisse zu ermitteln, die Sie erhalten möchten. Natürlich ist das Erstellen einer solchen Software selbst langsam und zeitaufwändig. Daher ist es weitaus besser, sich ein Tool zu besorgen, das bereits die Analysesoftware enthält, damit Sie die resultierenden Berichte überprüfen können, als zu versuchen, Kopf und Ende einer SBOM-Datei mit mehreren tausend Zeilen zu erstellen . Einige Berichte, die Sie möglicherweise in Betracht ziehen möchten, sind umfassende Schwachstellenberichte für alle Abhängigkeiten, ein Bericht über alle veralteten Komponenten, die in Ihrer Software verwendet werden, ein Bericht über alle verwendeten Open-Source-Lizenzen und ein Bericht über den relativen Zustand von Open-Source-Lizenzen. verwendeten Quellkomponenten. Letzteres könnte Elemente wie das nutzen OpenSSF-Scorecard jedem verwendeten Paket eine unparteiische Bewertung zu geben.
SBOM-Automatisierung und sichere Speicherung – Zu den Grundsätzen des SLSA-Sicherheitsrahmens gehört es, jede Sicherheitsfunktion so automatisch und so schwer wie möglich zu manipulieren. Die Idee dahinter ist, dass die Möglichkeit, die Ergebnisse von Sicherheitsfunktionen zu manipulieren, lediglich die Möglichkeit bietet, diese Funktion bei Bedarf zu stornieren oder zu manipulieren. Als Teil dieses Konzepts können Sie nach einem SBOM-Tool suchen, das vollständig automatisiert werden kann, um unabhängig in jeder CI/CD-Pipeline oder jedem Kompilierungslauf ausgeführt zu werden, ohne dass ein menschlicher Eingriff erforderlich ist. Suchen Sie außerdem nach einem SBOM-Tool, das die Beweise an einem sicheren Ort speichert, sodass nur ordnungsgemäß validiertes Personal darauf zugreifen kann. Dadurch würde sichergestellt, dass die SBOM-Beweise unter keinen Umständen manipuliert oder gelöscht werden könnten.
Kontinuierliche SBOM-Analyse – Ein weiterer potenzieller Vorteil der Speicherung Ihrer SBOMs durch einen Dritten besteht darin, dass dieser Dritte sie kontinuierlich auf neue Schwachstellen scannen kann. Ständig werden neue Schwachstellen entdeckt und gemeldet, und selbst ein Paket, von dem heute bekannt ist, dass es sauber ist, kann morgen nicht mehr so sauber sein. Wenn Sie über eine SBOM-Funktion verfügen, die kontinuierlich alle Ihre SBOMs scannt, nach neuen Schwachstellen sucht und Sie über jeden Fund benachrichtigt, stellen Sie sicher, dass Sie auch dann nicht überrascht werden, wenn Sie nicht jeden Tag, jede Woche oder jeden Monat eine neue SBOM erstellen eine neue Schwachstelle in einem zuvor sauberen Paket, das Sie in Ihr Produkt integriert haben.
Intelligente SBOM-Freigabe – Ein wichtiger Grund für eine gute SBOM, abgesehen davon, dass man eine Quelle für die Überprüfung möglicher Probleme in der Software-Lieferkette hat, besteht darin, sie mit anderen zu teilen. Möglicherweise möchten Sie die Informationen mit anderen internen Teams, Kunden, externen Auftragnehmern oder Prüfern teilen. Natürlich können Sie eine SBOM-Datei jederzeit einfach per E-Mail an einen Interessenten senden, aber angesichts häufiger Software-Updates und damit häufiger neuer SBOMs kann dies sehr schnell sehr mühsam werden. Es ist weitaus besser, über ein Tool zu verfügen, das über eine integrierte Freigabefunktion verfügt, sodass Sie eine Liste von Abonnenten definieren können und neue SBOMs mit oder ohne die dazugehörigen Berichte automatisch basierend auf dem Projekt, seinen Abonnenten, ihrem Interesse usw. geteilt werden .
SBOM-Hinweise – Wie bereits erwähnt, kann eine SBOM Tausende von Abhängigkeiten umfassen. Es ist nicht realistisch, ein einwandfreies Gesundheitszeugnis zu erwarten – keine Schwachstellen. Sie werden immer Schwachstellen haben. Die große Frage ist, ob diese Schwachstellen in der genauen Konfiguration Ihres Produkts ausgenutzt werden können. Diese Frage können nur die Entwickler beantworten. Sie sollten jedoch sicherstellen, dass Ihr SBOM-Tool über eine Funktion verfügt, mit der Sie diese Erkenntnisse teilen können. Sie möchten nicht tausendmal dieselbe Schwachstellenfrage beantworten müssen. Durch die Möglichkeit, Ihrem SBOM Hinweise hinzuzufügen, die den genauen Status jeder gefundenen Schwachstelle vermerken, können Sie Ihren Kunden und Partnern zeigen, dass Sie am Ball sind, und die Ergebnisse teilen, sobald Ihre Entwickler überprüft haben, dass eine bestimmte Schwachstelle vorhanden ist nicht in Ihrem Produkt ausnutzbar.
Wo Sie mit Ihrem SBOM-Generierungstool beginnen können
Es gibt viele weitere Funktionen, die Sie in einem SBOM-Generierungstool suchen und finden können, aber ich denke, unsere Liste der Funktionen macht deutlich, dass ein gutes SBOM-Tool mehr als ein einzelnes Element ist. Am besten ist es, ein vollständiges System zu finden, das die SBOM-Erstellung, Analyse (sowohl punktuelle als auch kontinuierliche), Berichte und Freigabe umfasst.
Angesichts der zunehmenden Aufmerksamkeit seitens der Regulierungsbehörden in den USA scheint es, als würde es nicht mehr lange dauern, bis eine begleitende SBOM zum Standard für jede neue Softwareversion wird. In diesem Fall möchten Sie bereits das beste Tool ausgewählt und in Ihren SDLC integriert haben. Ich möchte auch darauf hinweisen, dass ein SBOM nicht in Ihr geistiges Eigentum eingreifen kann – es „schaut“ sich keinen Code an und scannt nur Dateinamen, Versionen und dergleichen. Das bedeutet, dass die Weitergabe von SBOMs oder deren Speicherung an einem sicheren Ort durch einen vertrauenswürdigen Dritten in keiner Weise Ihre Sicherheit oder Ihr geistiges Eigentum gefährdet.
Dienste wie die Scribe Security-Plattform können Ihnen alle in diesem Artikel behandelten Funktionen bieten, wobei ständig weitere Funktionen hinzugefügt werden. Schauen Sie sich gerne unsere Plattform an und sehen Sie sich an, welche weiteren Funktionen unser SBOM-Generierungstool enthält, von denen Sie und Ihr Unternehmen profitieren könnten.