Gemeinsames Zielbild für SBOMs
Eine Software Bill of Materials (SBOM) schafft Transparenz in der Software-Lieferkette. BSI, CISA und internationale Partner legen nun ein gemeinsames Zielbild für SBOMs vor – als Grundlage für Cybersicherheit und den kommenden Cyber Resilience Act.
Die U. S. Cybersecurity and Infrastructure Security Agency (CISA) hat sich mit 18 internationalen Partnerbehörden auf ein gemeinsames Zielbild zur Vereinheitlichung von Software-Komponentenlisten (SBOM) verständigt. Die Publikation mit dem Titel „A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity“ (www.cisa.gov/resources-tools/resources/shared-visionsoftware-bill-materials-sbom-cybersecurity) ist im Zuge des „Global Government Expert Forum on SBOM“ entstanden, in dem das BSI aktiv mitwirkt.
Eine SBOM ist eine umfassende Liste mit allen Bestandteilen einer Software. Sie enthält Informationen zu eigenen oder fremden Komponenten wie etwa Bibliotheken, die in einer Software verwendet werden. Die SBOM wird automatisiert erstellt und liegt im Ergebnis als maschinenverarbeitbare Datei vor. Sie ist somit ein wichtiges Instrument zur transparenten Darstellung der Software-Lieferkette. Durch einen Abgleich mit Schwachstelleninformationen aus Schwachstellendatenbanken, Security-Advisories – in den Formaten Common Security Advisory Framework (CSAF) oder Vulnerability Exploitability Exchange (VEX) – können effizient potenzielle Schwachstellen in den eingesetzten Komponenten ermittelt und adressiert werden.
Die gemeinsame Veröffentlichung der Cybersicherheitsbehörden beschreibt, wofür SBOMs eingesetzt werden können und welche Vorteile sie für bestimmte Zielgruppen haben. Im nächsten Schritt plant das „Global Government Expert Forum on SBOM“ die verschiedenen internationalen Vorgaben zu harmonisieren, um zu einer einheitlichen Umsetzung von SBOMs beizutragen.
Mit dem Cyber-Resilience-Act (CRA) werden SBOMs als eine Grundlage für die Behandlung von Schwachstellen in Produkten mit digitalen Elementen auf dem europäischen Markt verpflichtend vorgeschrieben. Um den Umgang mit SBOMs bereits heute einfacher zu gestalten, hat das BSI die Technische Richtlinie TR-03183-2 mit formellen und fachlichen Vorgaben zu SBOM als Handreichung veröffentlicht (siehe www.bsi.bund.de/dok/TR-03183).