:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/8c/1b/8c1befa60ff518845ad692c9de0db30c/0113715722.jpeg "Alle Zeichen deuten auf Anwendungsvirtualisierung und Kubernetes: Die Software-Bereitstellung dürfte in naher Zukunft deutlich Container-lastiger werden, (Bild: <u><a target="_blank" href="https://unsplash.com/@growtika">Growtika</a></u>)")
:quality(80)/p7i.vogel.de/wcms/65/3b/653bccb0f4511868163e35e79ef17efe/0118315737.jpeg "Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen. (Bild: Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/70/9b701d17f9947da98f7ff66794de1c40/0118171949.jpeg "Aktuell ist es möglich, dass Cyberkriminelle Malware über GitHub verteilen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/95/0d/950dd2218249e3c616e1666c30c8548a/0117578309.jpeg "Die Log4j-Schwachstelle zeigte mit Blick auf die Sicherheit von Open-Source-Projekten sowohl Vor- als auch Nachteile. (© Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/36/a636fe064793ade70e7c90d9399a538d/0117657802.jpeg "Apache Nutch lässt sich effektiv mit einer Reihe anderer Open-Source-Lösungen kombinieren, um leistungsfähige und vielseitige Datenverarbeitungssysteme zu schaffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/98/1b/981b9520fd3ed77b1db64bb37cfc0f81/0117922410.jpeg "Verteilte und lose gekoppelte Anwendungen machen Application-Security-Teams die Arbeit deutlich schwerer. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/dd/97ddc917ccc52db20fcb3cbdebe916f1/0118360337.jpeg "Ablauf des typischen CrashLoopBackOff-Zustands in Kubernetes. (Bild: Groundcover)")
![„Ressourcen zum Wissensaufbau [rund um Cloud Native] gibt es erstmal genug. Das wichtigste ist, glaube ich, ein aufrichtiges Interesse und das Wollen“, konstatiert Max Hille im Dev-Metal-Podcast. (Bild: Vogel IT-Medien / Cloudflight)](https://cdn1.vogel.de/wn4z_Ut4eM9FMQWpNr19rQyzndY=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/89/54/89548254b1bad25c375bbe4497bd614e/0118326747.jpeg "„Ressourcen zum Wissensaufbau [rund um Cloud Native] gibt es erstmal genug. Das wichtigste ist, glaube ich, ein aufrichtiges Interesse und das Wollen“, konstatiert Max Hille im Dev-Metal-Podcast. (Bild: Vogel IT-Medien / Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/2e/72/2e7289e13f9938285540e96be53cc098/0117654091.jpeg "Nebenläufigkeit, mehr Performance, bessere Fehlerbehandlung: Das für September geplante Upgrade auf Swift 6 verspricht einige Optimierungen. (Bild: <u><a href=https://pixabay.com/users/stocksnap-894430/>StockSnap</a></u>)")
:quality(80)/p7i.vogel.de/wcms/7a/26/7a26ccac018032f39646084535d08b71/0118315576.jpeg "Bei .NET 7-Anwendungen kann es nach dem 14. Mai 2024 zu technischen Schwierigkeiten kommen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/fb/0e/fb0ec038774b9939f8180f811b62645d/0118117596.jpeg "In vielen IT-Bereichen sind Cross- und Upskilling die bevorzugten Methoden, um für die benötigte Expertise im Unternehmen zu sorgen. (Bild: Linux Foundation)")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Software Bills of Materials Wie Stücklisten die Sicherheit der Software-Supply-Chain erhöhen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Angesichts der zunehmenden Zahl und Raffinesse von Attacken auf die Software-Supply-Chain müssen Unternehmen eine solide Sicherheitsstrategie dafür entwickeln. In diesem Zusammenhang empfiehlt sich die Einführung von SBOMs, um die Risiken in den Lieferketten zu minimieren.
Hacker haben es immer öfter auf Software-Entwicklung, Open-Source-Artefakte und DevOps-Pipelines abgesehen. Welche Folgen ein erfolgreicher Angriff auf die Software-Supply-Chain haben kann, wurde vor nicht allzu langer Zeit durch die Entdeckung der Apache-Log4j-Schwachstelle deutlich. Zusätzliche Brisanz erhält der Schutz der Lieferketten durch eine aktuelle EU-Gesetzesinitiative
Stücklisten, auch Bills of Materials oder kurz BOMs genannt, stammen ursprünglich aus der Fertigung. Dort kommen sie seit Langem zum Einsatz, um einen klaren Überblick über die Komponenten zu erstellen, aus denen ein Produkt besteht.
Was sie sind und was dahintersteckt
Analog ist eine Software Bill of Materials (kurz: SBOM) eine vollständige, formal strukturierte Liste der Komponenten, Bibliotheken und Module, die für die Erstellung einer bestimmten Software erforderlich sind, sowie ihrer Beziehungen innerhalb der Lieferkette.
Diese Komponenten können Open Source oder proprietär, kostenlos oder kostenpflichtig, weithin verfügbar oder nur eingeschränkt zugänglich sein. So lässt sich ein Einblick in die Komponenten, Abhängigkeiten und Schwachstellen eines Produkts gewinnen.
Warum sie immer wichtiger werden
Ende 2022 verabschiedete das EU-Parlament als Teil der Initiative zur Reform der bestehenden Regeln zur Netz- und Informationssicherheit (kurz: NIS) eine neue Richtlinie für ein „hohes gemeinsames Cyber-Sicherheitsniveau“. Die Gesetzgebung sieht strengere Verpflichtungen für Risikomanagement, Meldepflichten und Informationsaustausch vor.
Die Anforderungen betreffen – neben Aspekten wie der Reaktion auf Sicherheitsvorfälle, Verschlüsselung und der Offenlegung von Sicherheitslücken auch explizit die Sicherheit der Lieferketten. Dass die Mitgliedstaaten zustimmen werden, gilt als reine Formsache. Anschließend folgt, ähnlich wie bei der 2018 endgültig in Kraft getretenen Datenschutz-Grundverordnung (kurz: DS-GVO), eine Übergangsfrist, um die Regeln in nationales Recht umzuwandeln.
Wie sie für mehr Transparenz sorgen
Einer der wichtigsten Vorteile einer SBOM besteht darin, dass sie leicht weitergegeben werden kann. Dies verbessert die allgemeine Transparenz und die Sichtbarkeit von Sicherheitsproblemen in der gesamten Branche und hilft, Schwachstellen frühzeitig und effizient zu erkennen.
Unabhängig davon, ob Unternehmen eine Software erstellen oder betreiben, ist jedes Produkt auf eine Vielzahl von Software-Libraries und Komponenten von Drittanbietern angewiesen. Eine Software-Stückliste liefert eine von Maschinen lesbare Liste der Versionen, die in einer Software laufen – und der damit verbundenen Schwachstellen.
Was für ihre Nutzung spricht
- 1. Sicherheit: Eine SBOM kann helfen, bekannte Sicherheitslücken in einer Software zu identifizieren. Durch Verfolgung und Aktualisierung der in der Software verwendeten Komponenten kann sie dazu beitragen, die Verwendung anfälliger Teile zu verhindern und das Risiko von Sicherheitsverletzungen zu verringern.
- 2. Einhaltung von Vorschriften: Ein solcher Leitfaden kann sicherstellen, dass eine Software gesetzlichen und branchenüblichen Standards entspricht. Dies ist besonders wichtig für Branchen mit strengen Vorschriften – wie Behörden, Gesundheits- und Finanzwesen.
- 3. Integrität: Mit einer Software-Stückliste ist es möglich, Ursprung und Herkunft von in einer Software verwendeten Komponenten zu verfolgen – das ist für die Aufrechterhaltung der Integrität der Software-Lieferkette wichtig.
- 4. Zusammenarbeit: Eine SBOM kann Software-Entwicklern helfen, effektiver zusammenzuarbeiten – indem sie eine klare, zentralisierte Aufzeichnung der in einer Software verwendeten Komponenten bereitstellt. Dies kann die gemeinsame Nutzung und Pflege von Code sowie die Kooperation bei Software-Projekten erleichtern.
Was sie mit Open-Source-Software zu tun haben
Open-Source-Software enthält oft eine Vielzahl von Komponenten, Libraries und anderen Abhängigkeiten, die aus vielerlei Quellen stammen können. Dies kann es schwierig machen, die verwendeten Komponenten nachzuverfolgen und zu verwalten.
Eine Software-Stückliste für Open-Source-Software stellt Informationen über die mit jeder Komponente verbundenen Lizenzen und Urheberrechte sowie über etwaige Sicherheitslücken oder andere potenzielle Probleme bereit. Auf diese Weise lässt sich sicherstellen, dass Open-Source-Software mit Komponenten erstellt wird, die ordnungsgemäß lizenziert sind, und dass alle potenziellen Rechts- oder Sicherheitsprobleme erkannt und behoben werden können.
Welche Lösungen bei ihrer Erstellung helfen können
Es gibt eine Reihe von technischen Lösungen oder Produkten, die Unternehmen bei der Erstellung und Pflege einer Software-Stückliste unterstützen können – von einfachen Tabellen-Templates bis hin zu anspruchsvolleren Software-Tools. Eine einfache Möglichkeit, eine SBOM zu erstellen, bietet beispielsweise das in der Software-Entwicklung weitverbreitete Open-Source-Tool Trivy.
Dabei handelt es sich um einen einfach zu bedienenden Open-Source-Scanner, der Entwicklern ermöglicht, Sicherheitslücken in ihren Projekten zu finden. Seit 2022 unterstützt Trivy auch die Erstellung von Stücklisten im CycloneDX-Format, einem branchenweiten Open-Source-SBOM-Standard. So können Entwicklungsteams diese Listen mit einem Tool erstellen, das sie bereits nutzen können.
Was Unternehmen konkret tun können
Die angesprochene EU-Richtlinie ist ein wichtiger Schritt, um Software sicherer zu machen. Ungeachtet der Übergangsphase sollten sich Unternehmen bereits jetzt auf deren Umsetzung vorbereiten.
Für Firmen, die selbst an der Erstellung von Software beteiligt sind, heißt das: Sie müssen in entsprechende Lösungen investieren, die ihnen helfen, ihren kompletten Prozess der Software-Erstellung zu schützen. Unternehmen, die Software nutzen – und das betrifft de facto alle – sollten drei Aspekte beachten: dass ihre Software-Lieferanten die Richtlinien umsetzen, Tools zur Absicherung ihres gesamten Entwicklungsprozesses einsetzen und Herkunft sowie Sicherheit aller Bestandteile ihrer Software über eine komplette SBOM garantieren können.
Hierfür eignen sich CNAPP-Plattformen, die entsprechende Funktionen für Supply-Chain-Security integriert haben. Hinter dem von Gartner geprägten Begriff CNAPP (engl. Cloud Native Application Protection Platform) verbirgt sich eine neue Kategorie von Sicherheitslösungen, die bei Identifizierung, Bewertung, Priorisierung und Anpassung von Risiken in Cloud-Native-Applications, Infrastruktur und Konfigurationen unterstützen – und im Idealfall End-to-End-Sicherheit für Cloud-Native-Umgebungen bieten.
Warum sie bei der Software-Entwicklung unerlässlich geworden sind
Es war noch nie so wichtig wie heute, die eigene IT-Sicherheitsstrategie zu überdenken. Denn die Grundlagen der Abwehrmöglichkeiten haben sich vor dem Hintergrund von Containern, Cloud-Computing, DevOps und Änderungen bei der Software-Entwicklung geändert.
Um die Sicherheit von Software zu verbessern, müssen Unternehmen die Erstellung von SBOMs in ihren Entwicklungsprozess einbauen. Mit ihrer Hilfe kann die Branche dafür sorgen, dass Hacker keine bösartigen Artefakte in der Software-Supply-Chain platzieren.
* Arne Jacobsen ist Director of Sales EMEA bei Aqua Security.
(ID:49673754)
:quality(80)/p7i.vogel.de/wcms/8a/88/8a88b1c684e97f89450484dda121e83f/0111642364.jpeg "Software-Lieferketten umfassen zahlreiche Prozesse und Ressourcen, deshalb sollten Sie besser überwacht werden. (Bild: <a href=https://pixabay.com/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/e7/a0/e7a033b306b4bb28022e10b3996efaf8/0117330434.jpeg "Der SBOM Manager von Sonatype soll ab Juni 2024 als SaaS und im Herbst als Stand-alone-Lösung erhältlich sein. (Bild: Sonatype)")