logo
Glossar SBOM

Was ist SBOM (Software Bill of Materials)?

Ein Software Bill of Materials (SBOM) ist ein detailliertes Inventar der Komponenten, aus denen eine Software besteht, einschließlich Drittanbieter- und Open-Source-Bibliotheken sowie Framework-Versionen. Es ist wie eine Zutatenliste innerhalb der Anwendung.

Indem jede Komponente innerhalb der Anwendung verfolgt wird, kann das Entwicklerteam schnell erkennen, wenn neue Schwachstellen entdeckt werden.

Warum SBOM in der Cybersicherheit wichtig ist

Moderne Anwendungen werden durch die Kombination von Hunderten oder Tausenden von Drittanbieter-Abhängigkeiten und Open-Source-Bibliotheken entwickelt, um die Entwicklung zu beschleunigen. Wenn eine davon Schwachstellen aufweist, wird die gesamte Anwendung gefährdet.

Ein SBOM hilft dem Entwicklerteam:

  • Schwachstellen früher zu identifizieren, indem betroffene Komponenten abgebildet werden
  • Die Einhaltung von Standards wie NIST, ISO oder Executive Order 14028 in den USA zu verbessern
  • Die Sicherheit der Lieferkette zu verbessern, indem Transparenz in der Softwarezusammensetzung gewährleistet wird
  • Vertrauen aufzubauen mit Kunden und Partnern, indem gezeigt wird, welche Komponenten enthalten sind

Schlüsselelemente eines SBOM

Ein richtiges SBOM umfasst normalerweise:

  • Komponentenname (z.B. lodash)
  • Version (z.B. 4.17.21)
  • Lizenzinformationen (Open Source oder proprietär)
  • Lieferant (Projekt oder Anbieter, der es pflegt)
  • Beziehungen (wie Komponenten voneinander abhängen)

Beispiel in der Praxis: Der Apache Struts Einbruch (Equifax, 2017)

Im Jahr 2017 nutzten Angreifer eine kritische Schwachstelle im Apache Struts Framework (CVE-2017-5638) aus, das in den Webanwendungen von Equifax (amerikanische multinationale Verbraucherkreditauskunftei) eingesetzt wurde. Der Patch für diese Schwachstelle war verfügbar, aber Equifax versäumte es, ihn rechtzeitig anzuwenden.

Da es an Sichtbarkeit in Bezug auf alle Abhängigkeiten und Bibliotheken innerhalb ihrer Anwendung mangelte, blieb der Fehler in der Struts-Bibliothek unbemerkt, was zu einem der größten Datenlecks in der Geschichte führte, bei dem mehr als 147 Millionen persönliche Daten offengelegt wurden.

Wenn ein SBOM vorhanden gewesen wäre, hätte Equifax schnell:

  • Erkennen können, dass ihre Anwendungen die anfällige Version von Apache Struts verwenden
  • Die Priorität auf das Patchen setzen können, sobald die Schwachstelle bekannt wurde
  • Die Zeit verkürzen können, die Angreifer hatten, um die Schwachstelle auszunutzen

Dieser Fall zeigt, welche kritische Rolle ein SBOM spielt, um Softwarekomponenten sicher zu halten und Organisationen zu helfen, schneller auf neu bekanntgegebene Schwachstellen zu reagieren.

Verwandte Begriffe

Nächste Schritte

Bereit, Ihre Anwendungen zu sichern? Wählen Sie Ihren weiteren Weg.

Kostenlose Testversion starten

Probieren Sie Plexicus 14 Tage lang risikofrei aus

Preise anzeigen

Transparente Preisgestaltung für Teams jeder Größe

Community beitreten

Treten Sie unserer globalen Community bei

Dokumentation lesen

Lesen Sie unsere umfassende Dokumentation

Schließen Sie sich über 500 Unternehmen an, die ihre Anwendungen bereits mit Plexicus sichern

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready