Thought Leadership
SBOMs: Sicherheitslücken planvoll beseitigen
Software-Hersteller sollten für ihre Anwendungen eine Stückliste pflegen, um sämtliche darin enthaltenen Komponenten zu dokumentieren. Wichtig ist aber auch, einen Maßnahmenkatalog zu erstellen und zu planen, was passiert, wenn eine Lücke bekannt wird und in welchem Zeitraum der Entwickler die Lücke schließt. Ohne Maßnahmenplanung bleibt die SBOM nur ein Dokument.
Schwachstellen in Open Source-Komponenten sind öffentlich zugänglich, so dass die Community schnell reagieren und die betreffenden Lücken schließen kann. Es liegt in der Natur der Sache, dass auch Angreifer Zugang zu diesen Schwachstellen haben und sie ausnutzen, um etwa eine Malware einzuschleusen. Software-Entwickler nutzen in den meisten Fällen ihre eigene SBOM. Sie dient ihnen intern dazu, Abhängigkeiten und Risiken zu dokumentieren und Gegenmaßnahmen abzuleiten. Wenn Unternehmen ihren Kunden die SBOM zur Verfügung stellen, sind diese besser gewappnet, eine lizenzierte Software so sicher wie nur möglich zu betreiben.
Käufer einer Software beschaffen sich wenn möglich die SBOM eines Drittanbieters. Dadurch lassen sich die eingesetzten Komponenten inventarisieren und dokumentieren. Auch Softwareentwickler, die externen Code verwenden, benötigen häufig noch die SBOM eines Drittanbieters. In der überwiegenden Zahl aller Fälle kommen in solchen Szenarien also mehrere SBOMs zum Einsatz. Das übergreifende Ziel beim Einsatz einer SBOM ist es, Sicherheitsabläufe zu automatisieren und Sicherheitslücken zu schließen. Dabei unterstützen verschiedene Vorgehensweisen, zum Beispiel intelligente Pipelines und AppSec-Tools.
Intelligente Pipelines im Sinne von mehr Software-Sicherheit
Alle Komponenten in einer Software-Lieferkette zuverlässig zu dokumentieren und das Schließen von Sicherheitslücken zu planen, erfordert intelligente Pipelines. Mit ihnen lässt sich die sehr zeitintensive Applikationssicherheit (AppSec) weitgehend automatisieren und intelligente Maßnahmen ergreifen. Dabei geht es nicht nur darum, die Lücken zu dokumentieren, sondern auch erfolgreich zu schließen.
AppSec-Tools in Softwareprojekten und Application Security Testing-Tools stellen gemeinsam mit entsprechenden Entwicklungs-Pipelines in DevOps-Umgebungen sicher, dass die gelieferten Anwendungen, inklusive aller Komponenten, maximal sicher sind und es auch bleiben. Eine Integration in CI/CD-Pipelines ist in dieser Hinsicht ein weiterer Bestandteil. Die verwendeten AppSec-Scanner laufen in der Pipeline ständig mit und untersuchen integrierte Komponenten.
DevSecOps – das Ziel von sicheren Software-Lieferketten
Intelligente Pipelines, in denen die Sicherheit von Softwarekomponenten im Fokus steht, greifen deshalb umfassend auf AppSec-Tools zurück. Auf Basis der Daten, die ein Scanner an die Pipeline übermittelt, ist es möglich, automatisierte Maßnahmen zu ergreifen. Im Rahmen von DevSecOps ist es sinnvoll SBOM mit einem standardisierten Format wie SPDX (Software Package Data Exchange, entwickelt von der SPDX-Workgroup, einer Arbeitsgruppe der Linux Foundation) einzuführen. Dadurch verhindert man redundante Arbeit, da verschiedene Komponenten an mehreren Stellen nutzbar sind. SPDX entwickelt sich derzeit zu einem beliebten Standard für den Umgang mit Open Source-Anwendungen in Unternehmen. Nicht zuletzt deshalb, weil man darüber Lizenzen, Copyright und die Kompatibilität von verschiedenen Komponenten gewährleisten kann.
Fazit
Software-Stücklisten bilden das Fundament für die Anwendungssicherheit bei Open Source-Komponenten. Entwickler sind der überwiegenden Zahl nach keine IT-Sicherheitsexperten und brauchen Unterstützung. SBOMs und intelligente Pipelines mit AppSec-Tools leisten einen nicht zu unterschätzenden Beitrag für die Sicherheit. Schon allein, weil sich SBOMs längst nicht allein auf die Dokumentation beschränken. Sie erlauben es, geeignete Maßnahmen zu ergreifen, um Sicherheitslücken zu erkennen und zu beseitigen. Automatisierung spielt dabei eine zentrale Rolle. Intelligente Pipelines wiederum sorgen in DevSecOps-Umgebungen dafür, dass entwickelte Anwendungen und die darin enthaltenen Komponenten immer maximal sicher und aktuell sind.
