:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition SBOM | Software Bill of Materials Was ist SBOM (Software Bill of Materials)?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Software Bill of Materials ist die Inventarliste eines Softwareprodukts. Sie enthält die für die Software verwendeten Komponenten wie Pakete oder Bibliotheken inklusive Abhängigkeiten sowie Versions- und Lizenzinformationen. Mit einer SBOM lassen sich die Codebasis einer Software und die Softwarelieferkette absichern. In einigen Bereichen, beispielsweise beim Einsatz der Software für einige kritische Infrastrukturen oder staatliche Institutionen, ist die SBOM verpflichtende Voraussetzung.
SBOM ist das Akronym für Software Bill of Materials. Es handelt sich um eine Inventar- oder Stückliste für ein Softwareprodukt, die alle verwendeten Komponenten wie Bibliotheken oder Softwarepakete enthält. Zum Inhalt der SBOM gehören die Abhängigkeiten der Komponenten, die Versions- und Lizenzinformationen sowie bekannte Schwachstellen oder Sicherheitslücken. Mit einer Software Bill of Materials lässt sich die Codebasis eines Softwareprodukts und die komplette Softwarelieferkette absichern. Die SBOM ist ein wichtiger Baustein der Softwaresicherheit und in einigen Bereichen zwingend vorgeschrieben. Durch Sicherheitsvorfälle wie die kritische Log4j-Schwachstelle hat die SBOM in den letzten Jahren kontinuierlich an Bedeutung gewonnen. Zahlreiche Institutionen und Gremien beschäftigen sich mit der Erstellung von Vorgaben und mit Standardisierungen der Software Bill of Materials. Beispielsweise hat die US-Telekommunikationsbehörde National Telecommunications and Information Administration (NTIA) eine Reihe von Minimalanforderungen für die SBOM entwickelt. Seit der Executive Order 14028 der US-Regierung aus dem Jahr 2021 besteht die Verpflichtung, beim Einsatz einer Software für US-Behörden eine SBOM in einem vorgegebenen Format zu liefern. Aufseiten der EU sind mit der Open-Source-Softwarestrategie ähnliche Anforderungen entstanden.
Zu den für die Software Bill of Materials entwickelten Standards zählen zum Beispiel SWID (Software Identification Tag), SPDX (Software Package Data Exchange) oder OWASP CycloneDX. Es wird erwartet, dass sich die SBOM zu einem allgemein vorgeschriebenen Standard für den Einsatz von Software für kritische Infrastrukturen (KRITIS) entwickelt. Große Branchenverbände machen sich ebenfalls für die SBOM stark. Mittlerweile existieren zahlreiche Tools, die eine automatisierte Erstellung, Aktualisierung, Verwaltung und Nachverfolgung der Software Bill of Materials ermöglichen.
Aufbau und Inhalt einer Software Bill of Materials
In der SBOM werden alle für die Erstellung eines Softwareprodukts verwendeten Komponenten wie Bibliotheken oder Pakete aufgezählt. Dazu zählen zum Beispiel Open-Source-Softwarepakete oder Softwarekomponenten von Drittherstellern. Für jede Komponente sind Informationen wie Versionsinformationen, Abhängigkeiten, Lizenzinformationen, Patchlevel oder bekannte Schwachstellen aufgelistet. Die National Telecommunications and Information Administration veröffentlichte 2021 mit einem Leitfaden von Minimalanforderungen an eine SBOM eine Art De-facto-Standard und legte sieben Datenfelder für jede Komponente fest. Diese Datenfelder sind Name des Anbieters, Name der Komponente, Version der Komponente, eindeutige Identifikatoren, Abhängigkeitsbeziehung, Autor der SBOM-Daten und Zeitstempel der Zusammenstellung der SBOM-Daten. Die Software Bill of Materials und ihre Informationen müssen in der Regel in einem maschinenlesbaren, standardisierten Format wie SPDX, CycloneDX oder SWID-Tags vorliegen. Für jede neue Version eines Softwareprodukts ist die SBOM auf den aktuellen Stand zu bringen.
Erstellen der Software Bill of Materials
Grundsätzlich ist es möglich, eine Software Bill of Materials in Formaten wie CSV, PDF oder HTML manuell zu erstellen und auf dem aktuellsten Stand zu halten. Dieser Vorgang ist aber zeitaufwendig und fehleranfällig. Aus diesem Grund kommen bevorzugt Tools für ein automatisiertes Erstellen einer Software Bill of Materials zum Einsatz. Sie werden als SCA-Tools (Software Composition Analysis Tools) bezeichnet und liefern SBOMs in standardisierten Formaten wie SPDX, SWID oder CycloneDX. Die maschinenlesbaren Formate erlauben die Integration in weitere automatisierte Prozessabläufe wie in DevSecOps-Pipelines. SCA-Tools untersuchen den Programmcode selbständig nach Pakten und Bibliotheken und extrahieren die benötigten Zusatzinformationen über die Softwarekomponenten aus Datenbanken und anderen Quellen. Die Inhalte der SBOM werden von den SCA-Tools kontinuierlich aktualisiert und auf dem neuesten Stand gehalten.
(ID:49426504)
:quality(80)/p7i.vogel.de/wcms/c1/8f/c18fa82b8869c380bbbb509ed0f7b912/0113613521.jpeg "Mit einer SBOM kann die Branche dafür sorgen, dass Hacker keine bösartigen Artefakte in der Software-Supply-Chain platzieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")