Ihre SBOM. Wasserdicht.
Durchleuchten Sie sämtliche Programmpakete in Ihrer Software-BOM auf Schwachstellen oder rechtliche Fallstricke – online mit unserem kostenlosen Scanning-Tool oder komplett automatisiert mit Snyk als integrierte SBOM-Management-Schaltstelle in Ihren Dev-Workflows.
Die volle Power unserer Plattform erhalten Sie mit einem Snyk Konto – kostenlos, unverbindlich und ohne Kreditkarte.
3 gute Gründe für Sicherheit durch zeitaktuelle SBOM-Pflege
Schnellere Entwicklung
Im Zuge agiler Software-Entwicklung ändern sich die einer Anwendung zugrunde liegenden Komponenten und ihre Versionen mit einer enormen Dynamik. Erst eine gut gepflegte SBOM liefert hier stets Klarheit über den Status quo.
Abbau technischer Schuld
Kommen Lizenzprobleme bei von Entwicklern genutzten Open-Source-Bibliotheken auf, müssen Sie ihren Code mit großem Aufwand komplett auf die Migration zu anderen Projekten abstimmen.
Compliance mit Weitsicht
Als eines der Kernelemente der 2022 vom US-Präsidenten erlassenen Cybersecurity-Verordnung wird die SBOM fortan zum wichtigen Fokusthema im Kontext der Sicherheit in der Software-Lieferkette – auch über die USA hinaus.
FAQ
Was versteht man unter einer Software-BOM?
In einerSoftware Bill of Materials, kurz SBOM, werden sämtliche Komponenten festgehalten, aus denen sich ein Software-Produkt zusammensetzt. Dies umfasst Bibliotheken aus externen Open-Source-Quellen und Pakete von Drittanbietern ebenso wie intern entwickelte Artefakte.
Wozu braucht es eine SBOM?
Erst durch eine lückenlose Bestandsaufnahme der Einzelkomponenten einer Anwendung anhand adäquater Security-Tools etwa für Software Composition Analysis lassen sich sicherheits- und lizenzbezogene Risiken im Zusammenhang mit ihrer Entwicklung und Nutzung zuverlässig erfassen. Noch mehr gilt dies angesichts der Dynamik, mit der sich die einer Anwendung zugrunde liegenden Komponenten und ihre Versionen im Zuge agiler Software-Entwicklung ändern. Eine SBOM, idealerweise in standardkonformer Ausfertigung, kann hier lückenlos Aufschluss über den Status quo liefern.
An welchem SBOM-Standard sollten wir uns orientieren?
CycloneDX und SPDX sind derzeit am weitesten verbreitet, wenn es um SBOM-Standards mit Fokus auf Security geht. Abhängig von den Anforderungen Ihres Projekts eignet sich der eine Standard womöglich besser als der andere, prinzipiell können Sie aber auch beide gleichzeitig umsetzen. Mit einem einheitlichen, rechtsverbindlichen Standard ist in absehbarer Zeit nicht zu rechnen. Vielmehr werden nach Einschätzung der US-Behörde für Cyber- und Infrastruktursicherheit CISA und Vertretern der Branche zunächst diverse Formate in der SBOM-Landschaft kursieren.
Was ist CycloneDX?
Mit CycloneDX hat das Open Worldwide Application Security Project (OWASP) einen Standard für AppSec-Kontexte sowie die Analyse von Komponenten in der Software-Lieferkette entwickelt, der die Erfassung sämtlicher intern entwickelter und Drittanbieter-Elemente einer Anwendung erleichtert. Neben Use Cases rund um Software-Bibliotheken werden dabei auch Standards wie Software-as-a-Service-BOM (SaaSBOM) und Vulnerability Exploitability Exchange (VEX) unterstützt. Als Open-Source-Projekt mit Apache 2.0 Lizenzierung kann der Standard frei genutzt werden. Das zugehörige Repository ist unter https://github.com/CycloneDX/specification abrufbar und steht der Entwickler-Community offen für Beiträge zur Verfügung.
Was ist SPDX?
Software Package Data Exchange bzw. SPDX ist ein weiterer Standard zum SBOM-Tracking, der die Erfassung von Komponenten, Lizenzen, Copyright- und Security-Informationen sowie weiterer Metadaten ermöglicht. Ins Leben gerufen wurde er von der Linux Foundation mit dem Ziel, wichtige Software-Daten in einem einheitlichen Format austauschbar zu machen. Unnötige Mehrarbeit soll dadurch vermieden werden, während zugleich Compliance, Sicherheit und Verlässlichkeit gestärkt werden. Wie auch seine Urheberin baut SPDX auf den Grundsätzen der Open-Source-Community auf. Alle Details zum Standard finden Sie in der vollständigen SPDX-Spezifikation sowie im GitHub-Repository zu SPDX.