logo
Glossar SBOM

Was ist ein SBOM (Software Bill of Materials)?

Ein Software Bill of Materials (SBOM) ist ein detailliertes Inventar der Komponenten, aus denen eine Software besteht, einschließlich Drittanbieter- und Open-Source-Bibliotheken sowie Framework-Versionen. Es ist wie eine Zutatenliste innerhalb der Anwendung.

Indem jedes Bauteil innerhalb der Anwendung nachverfolgt wird, kann das Entwicklerteam schnell erkennen, wann neue Schwachstellen entdeckt werden.

Warum SBOM in der Cybersicherheit wichtig ist

Moderne Anwendungen werden durch die Kombination von Hunderten oder Tausenden von Drittanbieter-Abhängigkeiten und Open-Source-Bibliotheken entwickelt, um die Entwicklung zu beschleunigen. Wenn eine dieser Komponenten Schwachstellen aufweist, wird die gesamte Anwendung gefährdet.

Ein SBOM hilft dem Entwicklerteam dabei:

  • Schwachstellen früher zu identifizieren, indem betroffene Komponenten kartiert werden
  • Die Einhaltung von Standards wie NIST, ISO oder Executive Order 14028 in den USA zu verbessern
  • Die Sicherheit der Lieferkette zu verbessern, indem Transparenz in der Softwarezusammensetzung gewährleistet wird
  • Vertrauen bei Kunden und Partnern aufzubauen, indem gezeigt wird, welche Komponenten enthalten sind

Schlüsselelemente eines SBOM

Ein ordnungsgemäßes SBOM umfasst in der Regel:

  • Komponentenname (z.B. lodash)
  • Version (z.B. 4.17.21)
  • Lizenzinformationen (Open Source oder proprietär)
  • Lieferant (Projekt oder Anbieter, der es pflegt)
  • Beziehungen (wie Komponenten voneinander abhängen)

Beispiel in der Praxis: Der Apache Struts Vorfall (Equifax, 2017)

Im Jahr 2017 nutzten Angreifer eine kritische Schwachstelle im Apache Struts Framework (CVE-2017-5638) aus, das in den Webanwendungen von Equifax (amerikanische multinationale Verbraucherkreditauskunftei) verwendet wurde. Der Patch für diese Schwachstelle war verfügbar, aber Equifax versäumte es, ihn rechtzeitig anzuwenden.

Da die Sichtbarkeit aller Abhängigkeiten und Bibliotheken innerhalb ihrer Anwendung fehlte, blieb der Fehler in der Struts-Bibliothek unbemerkt, was zu einem der größten Datenlecks in der Geschichte führte, bei dem mehr als 147 Millionen persönliche Daten offengelegt wurden.

Wenn ein SBOM vorhanden gewesen wäre, hätte Equifax schnell:

  • Identifizieren können, dass ihre Anwendungen die anfällige Version von Apache Struts verwendeten
  • Die Priorität auf das Patchen setzen können, sobald die Schwachstelle bekannt wurde
  • Die Zeit reduzieren können, die Angreifer hatten, um die Schwachstelle auszunutzen

Dieser Fall zeigt, welche kritische Rolle ein SBOM spielt, um Softwarekomponenten sicher zu halten und Organisationen zu helfen, schneller auf neu bekannt gewordene Schwachstellen zu reagieren.

Verwandte Begriffe

Nächste Schritte

Bereit, Ihre Anwendungen zu sichern? Wählen Sie Ihren Weg.

Kostenlose Testversion starten

Testen Sie Plexicus 14 Tage risikofrei

Preise anzeigen

Transparente Preisgestaltung für Teams jeder Größe

Community beitreten

Treten Sie unserer globalen Community bei

Dokumentation lesen

Lesen Sie unsere umfassende Dokumentation

Schließen Sie sich über 500 Unternehmen an, die ihre Anwendungen bereits mit Plexicus sichern

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready