Die Qualität von Software ist heute wichtiger denn je, insbesondere wenn es um die Sicherheit von Systemen geht. Ein wichtiger Aspekt, der zur Verbesserung der Softwarequalität beiträgt, ist die sogenannte Software-Bestandteilliste (SBOM). Eine SBOM bietet Transparenz über die Elemente eines integrierten Softwareprodukts und ist entscheidend für die Identifizierung von Systemvulnerabilitäten und die Minderung potenzieller Sicherheitsrisiken.
In einem kürzlich veröffentlichten Artikel von David Tobar, Jessie Jamieson, Mark Priest und Jason Fricke werden sieben Empfehlungen zur Verbesserung der Qualität von SBOMs vorgestellt. Diese Empfehlungen basieren auf den Ergebnissen des SBOM Harmonization Plugfest-Projekts des SEI aus dem Jahr 2024, das von der Cybersecurity and Infrastructure Security Agency (CISA) gesponsert wurde. Das Plugfest zielte darauf ab, die Ursachen für Abweichungen in SBOMs zu identifizieren und Lösungen zur Harmonisierung der SBOMs zu finden.
Eine der Empfehlungen besteht darin, die Einbeziehung bestimmter Mindestelemente in SBOMs zu betonen, wie beispielsweise den Typ des SBOMs, die Version der Komponenten und den Namen des Lieferanten. Diese Mindestelemente sind entscheidend für die Vollständigkeit und Genauigkeit von SBOMs und erleichtern die Informationsfreigabe.
Ein weiterer wichtiger Punkt ist die Normalisierung der Elemente in SBOMs, um Abweichungen zu minimieren. Oftmals werden die gleichen Informationen unterschiedlich dargestellt, was zu Verwirrung führen kann. Durch klare Richtlinien und Standards für die Darstellung von Informationen können SBOMs konsistenter und zuverlässiger gestaltet werden.
Zusätzlich wird empfohlen, die Verwendung von geeigneten Tools für die Erstellung von SBOMs zu gewährleisten und die SBOM-Profile zu entwickeln und zu validieren. Diese Profile definieren klare Einschränkungen für die Felder in einem SBOM und erleichtern die Kommunikation zwischen den Stakeholdern.
Quelle: https://www.sei.cmu.edu/blog/7-recommendations-to-improve-sbom-quality/
