Wie SBOMs dazu beitragen, Cyber-Security-Risiken zu vermindern Absicherung der Softwarelieferkette

Der Druck, Anwendungen schnell und effizient bereitzustellen, führt zu einem verstärkten Einsatz von Drittanbieter-Code und Open-Source-Bibliotheken. Software-Stücklisten helfen dabei, den Überblick zu behalten – und dürften künftig sogar Pflicht werden.

Grundsätzlich ist es vernünftig, bestehenden Code in neue Projekte einzubinden. Schließlich ist es bei vielen Aufgabenstellungen wenig sinnvoll, das Rad zum zweiten Mal zu erfinden. Probleme können aber entstehen, wenn die Zusammensetzung des fremden Codes nicht bekannt ist.

Eine von Osterman Research durchgeführte Studie zu kommerzieller Standardsoftware stellte fest, dass ausnahmslos alle analysierten Programme Open-Source-Komponenten enthielten, die zum Teil bekannte Sicherheitsschwachstellen aufwiesen. 85 Prozent der Programme wiesen sogar kritische Schwachstellen in ihren Open-Source-Komponenten auf. Durch die steigende Vernetzung der Software über das Internet der Dinge (IoT) entsteht zudem eine deutlich größere Angriffsfläche für das Auffinden und Ausnutzen von Schwachstellen. Die Risiken steigen.

Softwarestücklisten geben Aufschluss über enthaltene Komponenten

Um Sicherheitseinbußen zu vermeiden, verlassen sich Unternehmen deshalb zunehmend auf Technologien, die Softwarestücklisten generieren. Eine solche Softwarestückliste – bekannt auch als Software Bill of Materials (SBOM) – katalogisiert die beinhalteten Komponenten einer Softwareanwendung und die darin enthaltenen Schwachstellen. Ist eine Komponente identifiziert, können öffentliche Datenbanken abgefragt werden, ob für diese Komponente Sicherheitsprobleme gelistet sind.

SBOMs gelten daher als Grundlage für die Sicherheit der Softwarelieferkette. Sie ermöglichen es Entwicklern, sicherere Anwendungen zu erstellen, Sicherheitsteams mit Informationen über Bedrohungen zu versorgen und IT-Abteilungen in die Lage zu versetzen, stabilere Umgebungen zu unterhalten. Die Erstellung einer SBOM verschafft den Entwicklungsteams einen besseren Einblick in die genutzten Komponenten, so dass alle bekannten Schwachstellen im Vorfeld aufgedeckt und eliminiert werden können.

Die regelmäßige Analyse von Komponenten und die Erstellung von Softwarestücklisten gibt den Entwicklungsteams die Gewissheit, Qualitäts- und Sicherheitsstandards eingehalten zu haben. Gleichzeitig wird eine proaktive Verwaltung der Komponentenbibliotheken ermöglicht. Gefährdungen durch unbekannte Schwachstellen im Code von Drittanbietern können somit vermieden werden. Es ist daher empfehlenswert, kompilierte Software vor der Freigabe und Bereitstellung einer Sicherheitsüberprüfung zu unterziehen, indem eine SBOM erstellt wird.

Der Scan durch ein hierfür geeignetes Analysetool kann die Verwendung von Open-Source-Komponenten aufdecken und damit, nach Datenbankabfrage, Schwachstellen ausweisen, die behoben oder entschärft werden müssen. Dies ist ein wichtiger Schritt, um zu gewährleisten, dass die auf den Markt gebrachte Software so sicher wie möglich und frei von bekannten Sicherheitslücken ist.

Glücklicherweise ist die Erstellung von SBOMs dank der Software Composition Analysis (SCA)-Technologie für praktisch jedes Unternehmen möglich. Werkzeuge wie CodeSentry von GrammaTech erstellen Softwarestücklisten durch Quellcode- bzw. Binäranalyse. SCA-Tools für Binärdateien analysieren den kompilierten Code, das heißt die fertige Software, die von den Unternehmen geliefert und eingesetzt wird. Die SBOMs können also auch ohne Zugriff auf den Quellcode erstellt werden.

SBOMs könnten zum verpflichtenden Standard werden

Angesichts der zunehmenden Häufigkeit und Raffinesse von Angriffen auf die Lieferkette sind Softwarestücklisten ein wichtiges Hilfsmittel, um Sicherheitsrisiken in der Software zu erkennen und zu mindern. Es dürfte daher nur eine Frage der Zeit sein, bis die Erstellung von Softwarestücklisten allgemein vorgeschrieben wird.

In einer US-amerikanischen Präsidialverordnung zur Cybersicherheit (Executive Order on Improving the Nation’s Cybersecurity) aus dem Jahr 2021, die als Reaktion auf Cyberangriffe erlassen wurde, werden SBOMs als wirksames Instrument für die Cybersicherheit herausgestellt. Die Anordnung schreibt vor, dass Softwarestücklisten für Softwareanbieter, die mit der US-Regierung zusammenarbeiten, in die Richtlinien des National Institute for Standards and Technology (NIST) als bewährte Praktik aufgenommen werden müssen.

In der Europäischen Union gibt es ebenfalls Bestrebungen, die Cyber Security zu verbessern. Der 2019 in Kraft getretene europäische Rechtsakt zur Cyber-Sicherheit beschreibt in den Allgemeinen Bestimmungen, dass das Vertrauen in moderne IKT-Produkte und -Systeme dadurch gestärkt werden soll, indem auf transparente Art und Weise Informationen über das Niveau der Sicherheit von IKT-Produkten, -Diensten und -Prozessen bereitgestellt werden.

Eine Reihe von Branchen hat bereits damit begonnen, SBOMs bei der Lieferung kritischer Produkte wie medizinischer Geräte und Infrastruktur-Kontrollen zu verlangen. Das Vorhalten bzw. die Lieferung von Softwarestücklisten dürfte daher in Zukunft als „Stand der Technik“ zur Absicherung der Angriffssicherheit zur Normalität werden.

* Klaus Lambertz ist Mitgründer und Geschäftsführer der Verifysoft Technology GmbH. Der Experte für Softwaretests unterstützt mit einem internationalen Beraterteam Kunden weltweit bei der Qualitätssicherung ihrer Softwarelösungen. Zu den Schwerpunkten zählen dabei die Messung und Dokumentation der Code Coverage (Testabdeckung) sowie die statische Codeanalyse.

(ID:49650547)