{"id":5297,"date":"2022-07-18T15:27:49","date_gmt":"2022-07-18T15:27:49","guid":{"rendered":"https:\/\/network-king.net\/microsoft-veroeffentlicht-den-code-fuer-sein-sbom-tool\/"},"modified":"2022-07-18T15:30:49","modified_gmt":"2022-07-18T15:30:49","slug":"microsoft-veroeffentlicht-den-code-fuer-sein-sbom-tool","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/microsoft-veroeffentlicht-den-code-fuer-sein-sbom-tool\/","title":{"rendered":"Microsoft ver\u00f6ffentlicht den Code f\u00fcr sein SBOM-Tool"},"content":{"rendered":"\n<p>Microsoft k\u00fcndigt an, den Quellcode seines internen Tools zur Entwicklung von SBOMs (Software Bill of Materials) zu ver\u00f6ffentlichen. Ziel ist es, Unternehmen dabei zu helfen, die Kontrolle \u00fcber alle Teile ihrer Lieferketten zu behalten. Die Anwendung mit dem Namen \u201e<a href=\"https:\/\/github.com\/microsoft\/sbom-tool\" target=\"_blank\" rel=\"noreferrer noopener\">Salus<\/a>\u201c basiert auf dem <a href=\"https:\/\/spdx.dev\/\" target=\"_blank\" rel=\"noreferrer noopener\">Software Package Data Exchange (SPDX)<\/a> und kann mit Windows-, Linux- und Mac-Plattformen verwendet werden.<\/p>\n\n\n\n<p>Laut Microsoft l\u00e4sst sich Salus einfach in Arbeitsabl\u00e4ufe integrieren und erfasst \u00fcber die Komponentenerkennung automatisch NPM-Systeme, NuGet, PyPI, CocoaPods, Maven, Golang, Rust Crates, RubyGems, containerbasierte Linux-Pakete, Gradle, Ivy und \u00f6ffentliche Verzeichnisse von GitHub.<\/p>\n\n\n\n<p>Die von Salus generierten SBOMs enthalten vier Hauptbereiche, basierend auf der SPDX-Spezifikation:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Informationen zur Dokumentenerstellung: Allgemeine Daten, wie beispielsweise der Softwarename, SPDX-Lizenz und -Version, der Verfasser und die Erstellzeit.<\/li><li>Dateien: Liste der Dateien, aus denen die Software besteht, wobei jede Datei \u00fcber mehrere Eigenschaften verf\u00fcgt.<\/li><li>Pakete: Auflistung von den bei der Entwicklung verwendeten Software-Pakete. Jedes einzelne Paket hat weitere Eigenschaften, wie Name, Version, Hersteller, Hashes (SHA-1, SHA-256) und URL (purl) Software-Identifikator.<\/li><li>Verbindungen: Liste von Zusammenh\u00e4ngen zwischen verschiedenen SBOM-Elementen, z. B. Dateien und Software-Paketen.<\/li><\/ul>\n\n\n\n<p>Salus kann auch auf andere SBOM-Dokumente zur\u00fcckgreifen, um ein vollst\u00e4ndiges Verzeichnis von Zusammenh\u00e4ngen zu ermitteln.<\/p>\n\n\n\n<p>Microsoft ver\u00f6ffentlichte den Quellcode von Salus in direkter Folge einer<a href=\"https:\/\/www.whitehouse.gov\/briefing-room\/presidential-actions\/2021\/05\/12\/executive-order-on-improving-the-nations-cybersecurity\/\" target=\"_blank\" rel=\"noreferrer noopener\"> Anordnung des US-Pr\u00e4sidenten<\/a>. Ausgelobtes Ziel ist es, durch bestimmte Ma\u00dfnahmen, wie die Verwendung von SBOM, die Cybersicherheit des Landes bis Mai 2023 zu verbessern. F\u00fcr den IT-Giganten ist das Thema nichts Neues: Schon seit Jahren steht SBOM auf der Agenda von Microsoft. Im September 2019 leitete das Unternehmen eine branchen\u00fcbergreifende Arbeitsgruppe des Consortium for Information &amp; Software Quality (CISQ), um ein neues System f\u00fcr SBOM zu entwickeln. Microsoft beschloss daraufhin, die Arbeitsgruppe mit der Linux Foundation zu vereinen und den Software Package Data Exchange (SPDX) f\u00fcr alle erzeugten Software Bill of Materials zu verwenden. Ziel war es, dieses Prinzip in der Zukunft f\u00fcr alle produzierten Softwarepakete anzuwenden.<\/p>\n\n\n\n<p>Mit der Ver\u00f6ffentlichung des Salus-Quellcodes forciert Microsoft eine Zusammenarbeit mit der Open-Source-Gemeinschaft, um allen Betroffenen dabei zu helfen, die Richtlinien der US-Bundesregierung einzuhalten. Nach Ansicht des Unternehmens ist dies ein wichtiger Schritt zur F\u00f6rderung von Partnerschaften und Innovation in der Gemeinschaft. Gleichzeitig erhalten mehr Organisationen die M\u00f6glichkeit, SBOMs zu betreiben und an der Weiterentwicklung mitzuwirken.<\/p>\n\n\n\n<p>Und die Entwicklungen nehmen rasant an Fahrt auf: Das <a href=\"https:\/\/www.fedscoop.com\/dhs-seeks-sbom-tools\/\" target=\"_blank\" rel=\"noreferrer noopener\">US Department of Homeland Security<\/a> (US-Heimatschutzministerium) ruft zusammen mit der US-Beh\u00f6rde f\u00fcr Cybersicherheit und Infrastruktursicherheit (CISA) Technologieunternehmen dazu auf, im Rahmen eines <a href=\"https:\/\/sam.gov\/opp\/b0c13518724d4266a01d79414bb7feed\/view#classification\" target=\"_blank\" rel=\"noreferrer noopener\">Vertragsangebots<\/a> automatisierte Tools f\u00fcr den Umgang mit SBOMs zu entwickeln.<\/p>\n\n\n\n<p>\u201eSchwachstellen in Software stellen ein gro\u00dfes Risiko f\u00fcr die Cybersicherheit dar und sind der prim\u00e4re Weg f\u00fcr Angreifer, um eine Vielzahl von Sch\u00e4den zu verursachen. Durch die Verwendung von SBOMs als Schl\u00fcsselelemente f\u00fcr die Sicherung von Software-Paketen k\u00f6nnen wir Risiken in der Software-Lieferkette mindern und schneller und effizienter auf neue Bedrohungen reagieren\u201c, sagt Allan Friedman, Senior Consultant und Stratege bei der CISA.<\/p>\n\n\n\n<p>Das Programm umfasst vier Phasen und eine optionale f\u00fcnfte Phase, die Tests in Betriebsumgebungen und Anwendungsf\u00e4llen beinhaltet. Interessenten m\u00fcssen einen Antrag auf 50.000 bis 200.000 US-Dollar f\u00fcr die Entwicklung eines Minimum Valuable Products (MVP) innerhalb von drei bis neun Monaten stellen. Die ausgew\u00e4hlten MVPs werden dann in Phase 2 zur Prototypentwicklung weitergegeben.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-ein-blick-in-die-zukunft-und-die-vergangenheit\">Ein Blick in die Zukunft und die Vergangenheit<\/h2>\n\n\n\n<p>Eine verbesserte \u00dcberwachung der Softwareentwicklung und die Reduzierung von Schwachstellen in den Produktionsketten ist eine wichtige Aufgabe von SBOMs \u2013 aber sie k\u00f6nnen noch mehr.<\/p>\n\n\n\n<p>In Unternehmen mit komplexen Legacy-Umgebungen und einer umfangreichen Anzahl an Cybersicherheitsl\u00fccken k\u00f6nnen SBOMs dabei helfen, standardisierte Protokolle des Legacy-Softwarebestands zu erstellen. Daf\u00fcr greifen sie auf Details und Zusammenh\u00e4nge zwischen den in der Entwicklung verwendeten Komponenten zur\u00fcck. Laut einem <a href=\"https:\/\/www.forbes.com\/sites\/forbestechcouncil\/2022\/07\/12\/how-sboms-can-modernize-security-in-legacy-environments\/\" target=\"_blank\" rel=\"noreferrer noopener\">Forbes-Artikel<\/a> k\u00f6nnte dies eine M\u00f6glichkeit sein, um Sicherheitssysteme in \u00e4lteren Infrastrukturen zu modernisieren.<\/p>\n\n\n\n<p>Leider ist die Entwicklung von SBOMs f\u00fcr Unternehmen mit \u00e4lteren Systemen oft eine gr\u00f6\u00dfere Herausforderung als f\u00fcr solche mit modernen Technologieinfrastrukturen. Doch nichts ist unm\u00f6glich. Ziel ist es, veraltete Softwareprodukte und Komponenten zusammenzuf\u00fchren, die Teil der kritischen Infrastruktur sind. Dabei sollte nicht vergessen werden, dass sich diese Software-Bestandteile im Laufe der Zeit weiterentwickeln k\u00f6nnen. Gerade bei der SBOM-Entwicklung darf das nicht au\u00dfer Acht gelassen werden.<\/p>\n\n\n\n<p>Was hei\u00dft das nun? SBOMs sind eine gute M\u00f6glichkeit, die Sicherheit von Legacy-Umgebungen zu modernisieren. Zudem helfen Sie dabei, Schwachstellen besser zu erkennen und potenzielle Risiken zu reduzieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft k\u00fcndigt an, den Quellcode seines internen Tools zur Entwicklung von SBOMs (Software Bill of Materials) zu ver\u00f6ffentlichen. Ziel ist es, Unternehmen dabei zu helfen, die Kontrolle \u00fcber alle Teile ihrer Lieferketten zu behalten. Die Anwendung mit dem Namen \u201eSalus\u201c basiert auf dem Software Package Data Exchange (SPDX) und kann mit Windows-, Linux- und Mac-Plattformen&#8230;<\/p>\n","protected":false},"featured_media":5290,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-5297","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/5297","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=5297"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/5290"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=5297"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=5297"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=5297"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=5297"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=5297"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=5297"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}