BSI definiert Vorgaben für SBOM

BSI
Bildquelle: nitpicker / Shutterstock.com

Mit Teil 2 der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ hat das BSI am 4. August erstmals Vorgaben für die Software-Stücklisten (SBOM) vorgelegt. Ein Kommentar von Venkat Ram Donga, Director of Product Management beim SBOM-Spezialisten Revenera.

Die formellen wie fachlichen Empfehlungen sollen die Sicherheit in der Software-Supply Chain verbessern und Software-Herstellern bei der Erstellung von Stücklisten helfen. SBOMs sind eine Art Inventarliste, in der nicht nur alle in einer Software eingesetzten Code-Komponenten – einschließlich Lizenzierung, Versionen und Herkunft – festgehalten sind. Auch Abhängigkeiten zu Dritt-Komponenten sowie die von den Entwicklern genutzten Source Libraries und Drittanbieter-Bibliotheken werden aufgeführt. Das soll Transparenz schaffen und das Monitoring von Schwachstellen vereinfachen.

Anzeige

Die neue Richtlinie des BSI reiht sich in eine lange Liste an gesetzlichen Initiativen ein, die die Software Bill of Materials zur Pflicht-Aufgabe für Software-Hersteller erklären. Dazu gehört u. a. der im September 2022 vorgelegte EU-Entwurfs des Cyber Resilience Act (CRA) sowie die in den USA seit 2021 veröffentlichte Executive Order (EO) der Biden-Administration. 

Schwachstellen in der Software-Lieferkette waren die Ursache für einige der verheerendsten Cybervorfälle, die wir in den letzten Jahren erlebt haben – allen voran Log4j. Wir beobachten, dass Unternehmen, die SBOMs als Teil ihrer Sicherheitsstrategie einführen, besser in der Lage sind, ihre Software und sich selbst vor potentiellen Cyberangriffen zu schützen. Die Einführung von formellen Standards wie der BSI-Richtlinie sowie die Implementierung von Tools für das automatische Erstellen von Software-Stücklisten sind dafür grundlegend. Damit wird es für Unternehmen zukünftig deutlich einfacher, Best Practices umzusetzen und sicherere Software sowohl bereitzustellen als auch zu nutzen.

Anzeige
Venkat Ram Donga

Venkat

Ram Donga

Director of Product Management

Revenera

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.