Microsoft veröffentlicht den Code für sein SBOM-Tool

Microsoft kündigt an, den Quellcode seines internen Tools zur Entwicklung von SBOMs (Software Bill of Materials) zu veröffentlichen. Ziel ist es, Unternehmen dabei zu helfen, die Kontrolle über alle Teile ihrer Lieferketten zu behalten. Die Anwendung mit dem Namen „Salus“ basiert auf dem Software Package Data Exchange (SPDX) und kann mit Windows-, Linux- und Mac-Plattformen verwendet werden.

Laut Microsoft lässt sich Salus einfach in Arbeitsabläufe integrieren und erfasst über die Komponentenerkennung automatisch NPM-Systeme, NuGet, PyPI, CocoaPods, Maven, Golang, Rust Crates, RubyGems, containerbasierte Linux-Pakete, Gradle, Ivy und öffentliche Verzeichnisse von GitHub.

Die von Salus generierten SBOMs enthalten vier Hauptbereiche, basierend auf der SPDX-Spezifikation:

• Informationen zur Dokumentenerstellung: Allgemeine Daten, wie beispielsweise der Softwarename, SPDX-Lizenz und -Version, der Verfasser und die Erstellzeit.
• Dateien: Liste der Dateien, aus denen die Software besteht, wobei jede Datei über mehrere Eigenschaften verfügt.
• Pakete: Auflistung von den bei der Entwicklung verwendeten Software-Pakete. Jedes einzelne Paket hat weitere Eigenschaften, wie Name, Version, Hersteller, Hashes (SHA-1, SHA-256) und URL (purl) Software-Identifikator.
• Verbindungen: Liste von Zusammenhängen zwischen verschiedenen SBOM-Elementen, z. B. Dateien und Software-Paketen.

Salus kann auch auf andere SBOM-Dokumente zurückgreifen, um ein vollständiges Verzeichnis von Zusammenhängen zu ermitteln.

Microsoft veröffentlichte den Quellcode von Salus in direkter Folge einer Anordnung des US-Präsidenten. Ausgelobtes Ziel ist es, durch bestimmte Maßnahmen, wie die Verwendung von SBOM, die Cybersicherheit des Landes bis Mai 2023 zu verbessern. Für den IT-Giganten ist das Thema nichts Neues: Schon seit Jahren steht SBOM auf der Agenda von Microsoft. Im September 2019 leitete das Unternehmen eine branchenübergreifende Arbeitsgruppe des Consortium for Information & Software Quality (CISQ), um ein neues System für SBOM zu entwickeln. Microsoft beschloss daraufhin, die Arbeitsgruppe mit der Linux Foundation zu vereinen und den Software Package Data Exchange (SPDX) für alle erzeugten Software Bill of Materials zu verwenden. Ziel war es, dieses Prinzip in der Zukunft für alle produzierten Softwarepakete anzuwenden.

Mit der Veröffentlichung des Salus-Quellcodes forciert Microsoft eine Zusammenarbeit mit der Open-Source-Gemeinschaft, um allen Betroffenen dabei zu helfen, die Richtlinien der US-Bundesregierung einzuhalten. Nach Ansicht des Unternehmens ist dies ein wichtiger Schritt zur Förderung von Partnerschaften und Innovation in der Gemeinschaft. Gleichzeitig erhalten mehr Organisationen die Möglichkeit, SBOMs zu betreiben und an der Weiterentwicklung mitzuwirken.

Und die Entwicklungen nehmen rasant an Fahrt auf: Das US Department of Homeland Security (US-Heimatschutzministerium) ruft zusammen mit der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) Technologieunternehmen dazu auf, im Rahmen eines Vertragsangebots automatisierte Tools für den Umgang mit SBOMs zu entwickeln.

„Schwachstellen in Software stellen ein großes Risiko für die Cybersicherheit dar und sind der primäre Weg für Angreifer, um eine Vielzahl von Schäden zu verursachen. Durch die Verwendung von SBOMs als Schlüsselelemente für die Sicherung von Software-Paketen können wir Risiken in der Software-Lieferkette mindern und schneller und effizienter auf neue Bedrohungen reagieren“, sagt Allan Friedman, Senior Consultant und Stratege bei der CISA.

Das Programm umfasst vier Phasen und eine optionale fünfte Phase, die Tests in Betriebsumgebungen und Anwendungsfällen beinhaltet. Interessenten müssen einen Antrag auf 50.000 bis 200.000 US-Dollar für die Entwicklung eines Minimum Valuable Products (MVP) innerhalb von drei bis neun Monaten stellen. Die ausgewählten MVPs werden dann in Phase 2 zur Prototypentwicklung weitergegeben.

Ein Blick in die Zukunft und die Vergangenheit

Eine verbesserte Überwachung der Softwareentwicklung und die Reduzierung von Schwachstellen in den Produktionsketten ist eine wichtige Aufgabe von SBOMs – aber sie können noch mehr.

In Unternehmen mit komplexen Legacy-Umgebungen und einer umfangreichen Anzahl an Cybersicherheitslücken können SBOMs dabei helfen, standardisierte Protokolle des Legacy-Softwarebestands zu erstellen. Dafür greifen sie auf Details und Zusammenhänge zwischen den in der Entwicklung verwendeten Komponenten zurück. Laut einem Forbes-Artikel könnte dies eine Möglichkeit sein, um Sicherheitssysteme in älteren Infrastrukturen zu modernisieren.

Leider ist die Entwicklung von SBOMs für Unternehmen mit älteren Systemen oft eine größere Herausforderung als für solche mit modernen Technologieinfrastrukturen. Doch nichts ist unmöglich. Ziel ist es, veraltete Softwareprodukte und Komponenten zusammenzuführen, die Teil der kritischen Infrastruktur sind. Dabei sollte nicht vergessen werden, dass sich diese Software-Bestandteile im Laufe der Zeit weiterentwickeln können. Gerade bei der SBOM-Entwicklung darf das nicht außer Acht gelassen werden.

Was heißt das nun? SBOMs sind eine gute Möglichkeit, die Sicherheit von Legacy-Umgebungen zu modernisieren. Zudem helfen Sie dabei, Schwachstellen besser zu erkennen und potenzielle Risiken zu reduzieren.