logo

Command Palette

Search for a command to run...
Glossar SBOM

Was ist SBOM (Software Bill of Materials)?

Ein Software Bill of Materials (SBOM) ist ein detailliertes Inventar der Komponenten, aus denen eine Software besteht, einschließlich Drittanbieter- und Open-Source-Bibliotheken sowie Framework-Versionen. Es ist wie eine Zutatenliste innerhalb der Anwendung.

Indem jedes Element innerhalb der Anwendung nachverfolgt wird, kann das Entwicklungsteam schnell erkennen, wann neue Schwachstellen entdeckt werden.

Warum SBOM in der Cybersicherheit wichtig ist

Moderne Anwendungen werden durch die Kombination von Hunderten oder Tausenden von Drittanbieter-Abhängigkeiten und Open-Source-Bibliotheken entwickelt, um die Entwicklung zu beschleunigen. Wenn eine dieser Komponenten Schwachstellen aufweist, wird die gesamte Anwendung gefährdet.

Ein SBOM hilft dem Entwicklerteam:

  • Schwachstellen früher zu identifizieren, indem betroffene Komponenten kartiert werden
  • Die Einhaltung von Standards wie NIST, ISO oder Executive Order 14028 in den USA zu verbessern
  • Die Sicherheit der Lieferkette zu verbessern, indem Transparenz in der Softwarezusammensetzung gewährleistet wird
  • Vertrauen bei Kunden und Partnern aufzubauen, indem gezeigt wird, welche Komponenten enthalten sind

Schlüsselelemente eines SBOM

Ein ordentliches SBOM umfasst normalerweise:

  • Komponentenname (z.B. lodash)
  • Version (z.B. 4.17.21)
  • Lizenzinformationen (Open Source oder proprietär)
  • Lieferant (Projekt oder Anbieter, der es pflegt)
  • Beziehungen (wie Komponenten voneinander abhängen)

Beispiel in der Praxis: Der Apache Struts Vorfall (Equifax, 2017)

Im Jahr 2017 nutzten Angreifer eine kritische Schwachstelle im Apache Struts Framework (CVE-2017-5638) aus, das in den Webanwendungen von Equifax (amerikanische multinationale Verbraucherkreditauskunftei) verwendet wurde. Der Patch für diese Schwachstelle war verfügbar, aber Equifax versäumte es, ihn rechtzeitig anzuwenden.

Da es an Transparenz über alle Abhängigkeiten und Bibliotheken innerhalb ihrer Anwendung mangelte, blieb der Fehler in der Struts-Bibliothek unbemerkt, was zu einem der größten Datenlecks in der Geschichte führte, bei dem mehr als 147 Millionen persönliche Daten offengelegt wurden.

Wenn ein SBOM vorhanden gewesen wäre, hätte Equifax schnell:

  • Erkennen können, dass ihre Anwendungen die anfällige Version von Apache Struts verwendeten
  • Die Priorität auf das Patchen gelegt, sobald die Schwachstelle bekannt wurde
  • Die Zeit reduziert, die Angreifer hatten, um die Schwachstelle auszunutzen

Dieser Fall zeigt uns, welche kritische Rolle ein SBOM spielt, um Softwarekomponenten sicher zu halten und Organisationen dabei zu helfen, schneller auf neu offengelegte Schwachstellen zu reagieren.

Verwandte Begriffe

Nächste Schritte

Bereit, Ihre Anwendungen zu sichern? Wählen Sie Ihren weiteren Weg.

Kostenlose Testversion starten

Probieren Sie Plexicus 14 Tage lang risikofrei aus

Preise anzeigen

Transparente Preisgestaltung für Teams jeder Größe

Community beitreten

Treten Sie unserer globalen Community bei

Dokumentation lesen

Lesen Sie unsere umfassende Dokumentation

Schließen Sie sich über 500 Unternehmen an, die ihre Anwendungen bereits mit Plexicus sichern

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready