Inhalt
Die OWASP Foundation hat in Zusammenarbeit mit der Cyber Security Agency (CSA) Singapur eine Beratung herausgegeben, die sich auf die Nutzung von Software-Stücklisten (SBOM) zur Verbesserung des Schwachstellenmanagements bei Open-Source- und Drittanbieter-Softwareabhängigkeiten konzentriert. Diese Beratung betont die Einführung von OWASP CycloneDX, einem standardisierten SBOM-Format, das von Ecma International als ECMA-424 ratifiziert wurde, und hebt die gemeinsamen Bemühungen von OWASP, Ecma International und CSA zur Förderung dieses Ansatzes hervor. Die Beratung stellt außerdem OWASP Dependency-Track als primäre Plattform für die Nutzung und Analyse von SBOMs vor und bietet Entwicklern praktische Werkzeuge und Beispiele zur Integration dieses Prozesses in ihre Arbeitsabläufe.\n\nDie Integration von Open-Source-Software (OSS) in Entwicklungsprojekte bringt erhebliche Herausforderungen im Bereich Cybersicherheit mit sich, insbesondere durch Schwachstellen in Drittanbieter-Abhängigkeiten. Hochkarätige Sicherheitsvorfälle wie Log4j und Heartbleed verdeutlichen die Risiken: Viele Organisationen hatten während des Log4j-Vorfalls aufgrund unzureichender Sichtbarkeit der Softwarekomponenten mit kompromittierten Systemen zu kämpfen, während Heartbleed den Diebstahl von Millionen medizinischer Datensätze durch Ausnutzung von Schwachstellen in der OpenSSL-Bibliothek ermöglichte. Studien zeigen, dass ein durchschnittliches Softwareprojekt etwa 69 Abhängigkeiten und über fünf kritische Schwachstellen enthält, was das Risiko von Sicherheitsverletzungen erhöht, wenn Entwickler keine vollständige Kenntnis der Anwendungskomponenten haben.\n\nDiese Beratung richtet sich an Softwareentwickler, die OSS und Drittanbieter-Abhängigkeiten einbinden, und erkennt an, dass viele zwar über Cybersicherheitsrisiken informiert sind, jedoch oft nicht über ausreichende Anleitung oder Ressourcen verfügen, um robuste Sicherheitspraktiken bei der Softwareerstellung und -bereitstellung durchzusetzen. Sie schlägt einen nachhaltigen, automatisierten Ansatz für das Schwachstellenmanagement vor, indem SBOM mit Echtzeit-Schwachstellenüberwachung kombiniert wird, was die Effizienz und Effektivität des Risikomanagements erheblich verbessern kann.\n\nTraditionell ist das manuelle Management von OSS-Abhängigkeiten arbeitsintensiv und fehleranfällig. Entwickler müssen komplexe Codebasen durchsuchen, um verwundbare Komponenten zu identifizieren, was die Behebungsmaßnahmen verzögert. SBOM bietet eine strukturierte, formalisierte Aufzeichnung der Softwarekomponenten und gewährt vollständige Transparenz in der Softwareumgebung. Diese Transparenz ermöglicht es Entwicklern, Schwachstellen schnell zu lokalisieren und zu beheben, wodurch technische Schulden und zukünftige Behebungsaufwände reduziert werden. Durch die Integration von SBOM-Tools in Continuous Integration- und Continuous Deployment (CI/CD)-Pipelines können Organisationen die Erstellung, Signierung und Alarmierung von SBOMs automatisieren und so eine Echtzeitüberwachung neu auftretender Schwachstellen ermöglichen.\n\nDas SBOM fördert zudem die Zusammenarbeit zwischen Entwicklungs-, Sicherheitsbetriebs- und Incident-Response-Teams, verbessert das ganzheitliche Schwachstellenmanagement und beschleunigt Reaktionszeiten. Dieser kollaborative Ansatz minimiert die operative Komplexität und unterstützt proaktive Risikominderung, ohne Innovationen zu behindern. Die Integration der SBOM-Erstellung in CI/CD-Prozesse stellt sicher, dass das Bewusstsein für Schwachstellen mit der Entwicklung der Softwarekomponenten Schritt hält und sofortige Maßnahmen bei neu entdeckten Bedrohungen ermöglicht.\n\nDie Beratung skizziert einen dreistufigen Ansatz für das Schwachstellenmanagement mittels SBOMs. Zuerst die Werkzeugauswahl: Das gewählte Tool muss alle Softwarekomponenten und Abhängigkeiten, einschließlich indirekter, genau identifizieren und sich nahtlos in CI/CD-Pipelines wie GitHub Actions oder GitLab CI/CD integrieren. Zweitens die Erstellung und Signierung des SBOM gemäß anerkannten Standards wie CycloneDX oder SPDX, wobei Authentizität und Nachverfolgbarkeit durch kryptografische Signierung und Veröffentlichung in Transparenzprotokollen sichergestellt werden. Drittens das proaktive Schwachstellenmanagement: Veröffentlichung des SBOM in sicheren Repositorien, in die Tools wie OWASP Dependency-Track die Daten automatisch für kontinuierliche Überwachung und frühzeitige Erkennung von Schwachstellen einlesen können.\n\nEntwickler sollten berücksichtigen, dass die Vollständigkeit des SBOM von den generierten Manifestdateien abhängt und obskure Programmiersprachen die Erkennungsgenauigkeit verringern können. Für SaaS- und Closed-Source-Software ist es entscheidend, SBOMs von Drittanbietern anzufordern oder alternativ Laufzeit- oder binärbasierte SBOM-Tools einzusetzen, um dynamisch geladene Komponenten oder kompilierte Binärdateien zu erfassen. Nach Identifikation von Schwachstellen müssen Entwickler ihre Drittanbieter zur Behebung informieren. Es ist auch wichtig, die Ausnutzbarkeit der erkannten Schwachstellen zu überprüfen, um Teams nicht mit Fehlalarmen zu überlasten und fokussierte sowie effektive Behebungsmaßnahmen zu gewährleisten.
