Wer den Artikel lieber als Youtube Video sehen möchte.. der kann hier einen Blick drauf werfen
Da die US-Regierung ihre eigene Arbeitsweise definieren kann, wurde beschlossen, dass die SBOM-Anforderungen (in Vorbereitung) die einzige Möglichkeit sein werden, Softwarekäufe zu genehmigen – Um eine Vorstellung von dem Volumen zu bekommen, muss man wissen das es sich um einen Betrag in zweistelliger Milliardenhöhe jährlich handelt. Dies bedeutet, dass jedes Unternehmen, das an US-Regierungsbehörden, wahrscheinlich staatliche und lokale Behörden, verkaufen möchte, und jeder, der mit Wiederverkäufern zusammenarbeitet, die an die Regierung verkaufen, und mehr, alle diese neuen Standards erfüllen müssen.
Als sich die Europäische Union mit der DSGVO auf umfassende Datenschutz- und Datensicherheitsgesetze geeinigt hat, war die Wirkung weltweit und schnell zu spüren. In einer global vernetzten Wirtschaft können Entscheidungen der weltgrößten BIP-Produzenten Maßstäbe für andere Bereiche setzen. Mit der DSGVO mussten Unternehmen in den USA und anderen Bereichen sofort Software und Prozesse überarbeiten und aktualisieren, um weiterhin in der EU Geschäfte machen zu können. Tatsächlich wurde es zu einer weltweiten Regelung, um EU-Verträge nicht zu verlieren. Ebenso wird davon ausgegangen, dass sich die US-Ordnung zur Cybersicherheit in umgekehrter Richtung entwickelt, wobei globale Unternehmen mit Sitz in den USA das globale Verhalten für Softwaresicherheit beeinflussen.
Wow – und nun?
Was bedeutet das nun für mich als Softwareentwickler? Nun, die Auswirkungen an dieser Stelle sind nicht so gravierend wie man sich das evtl vorstellen möchte. Im Endeffekt wird hier davon gesprochen das eine vollständige Liste aller enthaltenen Abhängigkeiten erstellt werden muss. Damit sind die direkten und indirekten Abhängigkeiten gemeint. Um nun solch einen Abhängigkeitsgraphen zu erhalten kann man sich zum Beispiel der Werkzeuge bedienen, die dieses schon machen. Gemeint sich die Werkzeuge die in der Lage sind, zum Beispiel einen vollen Abhängigkeitsgraphen zu erzeugen. Hierzu benötigt man einen logischen Punkt über den alle Abhängigkeiten geholt werden. Am besten eignet sich ein Tool wie zum Beispiel Artifactory, da hier das Wissen über alle eingesetzten Dependency-Manager zusammenlaufen. Werkzeuge wie der Vulnerability-Scanner JFrog Xray können dann auf diese Informationen zugreifen und nicht nur nach bekannten Schwachstellen und eingesetzten Lizenzen scannen, sondern auch den vollen Abhängigkeitsgraphen extrahieren. Diese Informationen können somit als Build-Information durch die CI-Strecke (z.B. JFrog Pipelines) erzeugt und in einem Build-Repository innerhalb von Artifactory abgelegt werden.
Fazit
Wir haben gesehen das die neuen Qualitäten der Angriffe auf Softwaresysteme im Allgemeinen zu erweiterten Abwehrmaßnahmen führen werden. Gemeint ist hier eine lückenlose Analyse aller beteiligten und produzierten Artefakte. Die dafür benötigten Werkzeuge müssen in der Lage sein über Technologiegrenzen hinweg die Informationen zu aggregierten Wirkungsgraphen zusammenzuführen. Ein Punkt innerhalb der Softwareentwicklung der sich hierfür geradezu anbietet, ist der logische Punkt über den alle Binaries dem System zugeführt werden. Die Komponenten alleine sind nicht ausreichend, da nur durch das Verständnis der dazugehörigen Meta-Informationen auch alle indirekten Elemente erreicht und überprüft werden können.
Die hierfür eingesetzten Werkzeuge können dann auch für die Erstellung der SBOM´s genutzt werden.
Meiner Meinung nach ist es nur ein Frage der Zeit bis wir auch dieser Anforderung nachkommen müssen, wenn wir keinen wirtschaftlichen Nachteil durch die Executive Order of Cybersecurity bekommen wollen.
Wer mehr zu dem Thema erfahren möchte, oder die hier kurz genannten Werkzeuge testen möchte; Kann sich gerne an mich wenden.
Wir bieten neben weiteren Informationen auch kostenlose Workshops an, um sich rein praktisch auf diese Herausforderungen vorzubereiten.
Und wer sofort mehr wissen möchte, der kann gerne auf meinem Youtube Kanal gehen. Dort habe ich weiterführende Videos zu diesem Thema.
Es wäre schön mir als kleines Dankeschön ein Abo auf meinem Youtube-Kanal zu hinterlassen.
https://www.youtube.com/user/svenruppert
Cheers Sven