Cybersicherheitsbehörden vereinheitlichen Standards für Software-Komponentenlisten
19 internationale Behörden wollen gemeinsame Standards für SBOM etablieren. Das BSI beteiligt sich an der Initiative zur Harmonisierung der Sicherheitsvorgaben.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat gemeinsam mit 18 internationalen Partnerbehörden eine Vereinbarung zur Standardisierung von Software Bill of Materials (SBOM) getroffen. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) entstand die Publikation „A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity“ im Rahmen des Global Government Expert Forum on SBOM, an dem die deutsche Cybersicherheitsbehörde aktiv teilnimmt.
Das Forum tagt nach Angaben des BSI in regelmäßigen Abständen und arbeitet an der internationalen Koordinierung von SBOM-Standards. Die Initiative zielt darauf ab, unterschiedliche nationale Vorgaben zu harmonisieren und eine einheitliche Umsetzung von Software-Komponentenlisten zu fördern.
Automatisierte Erfassung aller Softwarebestandteile
Eine SBOM stellt eine umfassende Liste aller Softwarekomponenten dar, die sowohl eigene als auch fremde Bestandteile wie Bibliotheken erfasst. Die Listen sollen automatisiert erstellt werden und als maschinenverarbeitbare Dateien vorliegen. Dadurch sollen sie Transparenz in Software-Lieferketten schaffen.
In der praktischen Anwendung erfolgt ein Abgleich mit Schwachstellendatenbanken und Security Advisories in den Formaten Common Security Advisory Framework (CSAF) oder Vulnerability Exploitability Exchange (VEX). Laut BSI können so potenzielle Schwachstellen in verwendeten Komponenten effizient identifiziert und behoben werden.
Die gemeinsame Veröffentlichung der Cybersicherheitsbehörden beschreibt verschiedene Einsatzmöglichkeiten von SBOMs und deren spezifische Vorteile für unterschiedliche Zielgruppen. Das Global Government Expert Forum plant als nächsten Schritt die Harmonisierung verschiedener internationaler Vorgaben.
Verpflichtende Anforderungen durch EU-Gesetzgebung
Mit dem Cyber Resilience Act (CRA) werden SBOMs als Grundlage für den Umgang mit Schwachstellen in Produkten mit digitalen Elementen auf dem europäischen Markt verpflichtend. Die EU-Verordnung schreibt entsprechende Dokumentationspflichten für Hersteller vor.
Das BSI hat bereits die Technische Richtlinie TR-03183-2 mit formellen und fachlichen Vorgaben zu SBOM veröffentlicht. Die Handreichung definiert notwendige Datenfelder, den erforderlichen Umfang und mögliche Dateiformate für Software-Komponentenlisten. Die Richtlinie soll Unternehmen den praktischen Umgang mit SBOM-Anforderungen bereits vor Inkrafttreten der CRA-Bestimmungen erleichtern.