{"id":3580,"date":"2022-01-21T14:57:26","date_gmt":"2022-01-21T14:57:26","guid":{"rendered":"https:\/\/network-king.net\/diese-rolle-spielt-sbom-fuer-cybersicherheit\/"},"modified":"2022-05-05T16:45:11","modified_gmt":"2022-05-05T16:45:11","slug":"diese-rolle-spielt-sbom-fuer-cybersicherheit","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/diese-rolle-spielt-sbom-fuer-cybersicherheit\/","title":{"rendered":"Diese Rolle spielt SBOM f\u00fcr Cybersicherheit"},"content":{"rendered":"\n

Eine k\u00fcrzlich durchgef\u00fchrte Umfrage<\/a> zeigt, wie Unternehmen im Jahr 2022 die Sicherheit in der Software-Lieferkette erh\u00f6hen wollen. Ziel ist es, sich vor Angriffen zu sch\u00fctzen, die Sicherheitsl\u00fccken ausnutzen.<\/p>\n\n\n\n

 \n\nDie Studie wurde im Dezember 2021 mit 428 F\u00fchrungskr\u00e4ften aus den Bereichen IT, Sicherheit und Entwicklung durchgef\u00fchrt. Somit fiel die Erhebung in den Zeitraum kurz vor der Offenlegung der Log4j-Schwachstelle. Log4j ist eine Open-Source-Java-Bibliothek, die von der Apache Foundation entwickelt wurde, und bei Anwendungs- und Dienstentwicklern im Internet weit verbreitet ist. Die von den Befragten unmittelbar nach dem Vorfall beobachteten Auswirkungen auf die Cybersicherheit der Software-Lieferkette wurden als erheblich oder m\u00e4\u00dfig eingestuft.<\/p>\n\n\n\n

F\u00fcr 54 % der Befragten wird die Sicherheit der Software-Lieferkette im Jahr 2022 ein wichtiges Thema sein \u2013 wenn sie nicht sogar das Hauptaugenmerk darauf legen. Und bereits jetzt setzen 76 % der gro\u00dfen Unternehmen verst\u00e4rkt auf die sogenannte Software Bill of Materials (SBOM). Das l\u00e4sst vermuten, dass SBOM-Abl\u00e4ufe, die das Ziel haben, die Sicherheit der Software-Lieferkette zu verbessern, an Bedeutung gewinnen. Bis jetzt verf\u00fcgen allerdings nur 18 % der Befragten \u00fcber vollst\u00e4ndige SBOMs f\u00fcr alle Anwendungen. Weniger als ein Drittel der Befragten befolgt Best Practices f\u00fcr die Pflege eines SBOM-Repositorys und die Anforderung von SBOMs von Anbietern.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

\u201eDie wichtigste Ma\u00dfnahme besteht jetzt darin, SBOMs zu erstellen und zu speichern \u2013 am besten f\u00fcr die g\u00e4ngigsten Anwendungen, die Unternehmen entwickeln und verwenden. Das dient als Basis und sorgt f\u00fcr Transparenz bei den Softwarekomponenten, von denen sie abh\u00e4ngen und die sie nach der Bereitstellung auf Anwendungssicherheit \u00fcberwachen m\u00fcssen. Mit solchen SBOMs sind Unternehmen in der Lage, schnell auf die n\u00e4chste Zero-Day-Schwachstelle zu reagieren\u201c, so Josh Bressers, Vice President of Security bei Anchore, dem Unternehmen, das die oben genannte Studie durchgef\u00fchrt hat.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

<\/h2>\n\n\n\n

Der Begriff SBOM<\/a> bezeichnet die Menge der Komponenten und Bibliotheken sowie ihre jeweiligen Lizenzen und Abh\u00e4ngigkeiten, aus denen eine Softwareanwendung besteht. Es handelt sich um Dokumente, die von Maschinen interpretiert werden k\u00f6nnen und als nat\u00fcrliches Nebenprodukt moderner Entwicklungsprozesse angesehen werden. Das SBOM-Konzept gibt es bereits seit einem Jahrzehnt in der IT-Welt. An Aufmerksamkeit hat es jedoch erst gewonnen, seitdem verst\u00e4rkt Mittel zur Gew\u00e4hrleistung der Sicherheit der Software-Lieferkette eingesetzt werden.<\/p>\n\n\n\n

„Seit Jahren diskutieren wir \u00fcber die Idee, dass Software und Cloud-Dienste \u00fcber zuverl\u00e4ssige SBOMs verf\u00fcgen sollten. Sie sollen transparent machen, welche Fehler f\u00fcr verwendete Produkte wirklich kritisch sind“, kommentiert Paul Ducklin<\/a>, Principal Security Researcher bei Sophos.<\/p>\n\n\n\n

Sogar die US-Regierung<\/a> scheint dem SBOM-Problem in letzter Zeit Aufmerksamkeit zu schenken. Unter anderem forderte Pr\u00e4sident Biden in einer Durchf\u00fchrungsverordnung zur Cybersicherheit die Ausarbeitung von Richtlinien. Diese sollen spezifizieren, was genau SBOMs enthalten sollen.<\/p>\n\n\n\n

\u201eEin weit verbreitetes, maschinenlesbares SBOM-Format sorgt f\u00fcr mehr Nutzen durch Automatisierung und Integration \u00fcber Tools. SBOMs gewinnen an Wert, wenn sie gemeinsam in einem Repository gespeichert werden, das von anderen Anwendungen und Systemen leicht referenziert werden kann. Das Verst\u00e4ndnis der Software-Lieferkette, die Entwicklung von SBOMs und deren Verwendung zur Analyse von Schwachstellen ist f\u00fcr das Risikomanagement von entscheidender Bedeutung\u201c, hei\u00dft es in der Anordnung<\/a>.<\/p>\n\n\n\n

Die Regierungsinitiativen zum Thema SBOM werden von Allan Friedman<\/a>, Senior Consultant und Stratege bei der CISA (Cybersecurity and Infrastructure Security Agency), geleitet und umfassen vier Arbeitsbereiche: Cloud- und Online-Anwendungen, Tools und Implementierung, gemeinsame Nutzung und Austausch von SBOMs sowie Zugang und \u00dcbernahme.<\/p>\n\n\n\n

Aber woran liegt es, dass die Ma\u00dfnahmen im Zusammenhang mit SBOMs bislang noch nicht so richtig in Gang gekommen sind? F\u00fcr Eric Byres<\/a>, Chief Technology Officer bei aDolus, sei es einfach, SBOMs zum Zeitpunkt der Entwicklung zu erstellen. Aber was ist mit den Anwendungen (nur im Bin\u00e4rcode), die bereits installiert sind und weltweit genutzt werden? Diese Kategorie mache etwa 95 % der Software aus, die heute in kritischen Systemen verwendet wird, sagt er. Au\u00dferdem handele es sich bei den heutigen SBOMs um statische Dokumente, die nicht in der Lage sind, Updates automatisch zu \u00fcbernehmen.<\/p>\n\n\n\n

Die Umwandlung einer gro\u00dfen Menge von SBOM-Daten in Informationen ist nach Ansicht von Byres ebenfalls eine gro\u00dfe Herausforderung. Notwendig seien Ma\u00dfnahmen, die er als SBOM-Anreicherung bezeichnet: die Listen der rohen Softwarekomponenten verwenden, die Risikofaktoren f\u00fcr jede einzelne bestimmen und Priorit\u00e4ten festlegen.<\/p>\n\n\n\n

Um die neue Aufgabe der Verwaltung von SBOMs zu erleichtern, werden bereits Ans\u00e4tze<\/a> zur Erstellung, Verwaltung und Verwendung von SBOMs ver\u00f6ffentlicht, die die wichtigsten Phasen des Software-Lebenszyklus abdecken. Dies umfasst die folgenden Punkte:<\/p>\n\n\n\n

1. Speichern und Verwalten von SBOMs in einem zentralen Repository;<\/p>\n\n\n\n

2. \u00dcbernahme von SBOM-Standards. Software Packet Data Exchange (SPDX)<\/a>, das seit \u00fcber einem Jahrzehnt zur Dokumentation von Softwarekomponenten verwendet wird, ist jetzt beispielsweise ein international anerkannter SBOM-Standard;<\/p>\n\n\n\n

3. Ausarbeitung von SBOMs f\u00fcr jegliche Software, die im Unternehmen integriert wird;<\/p>\n\n\n\n

4. Generierung von SBOMs in jedem Schritt des Entwicklungsprozesses und f\u00fcr jeden Build;<\/p>\n\n\n\n

5. Erstellung umfassender SBOMs f\u00fcr jede Version der Software, die bereitgestellt oder geliefert wird;<\/p>\n\n\n\n

6. Verwendung von Automatisierungstools f\u00fcr die Durchsetzung von Richtlinien und Warnmeldungen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Eine k\u00fcrzlich durchgef\u00fchrte Umfrage zeigt, wie Unternehmen im Jahr 2022 die Sicherheit in der Software-Lieferkette erh\u00f6hen wollen. Ziel ist es, sich vor Angriffen zu sch\u00fctzen, die Sicherheitsl\u00fccken ausnutzen.   Die Studie wurde im Dezember 2021 mit 428 F\u00fchrungskr\u00e4ften aus den Bereichen IT, Sicherheit und Entwicklung durchgef\u00fchrt. Somit fiel die Erhebung in den Zeitraum kurz vor…<\/p>\n","protected":false},"featured_media":3577,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-3580","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/3580","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=3580"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/3577"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=3580"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=3580"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=3580"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=3580"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=3580"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=3580"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}