SBOMs: Wie Stücklisten für Software funktionieren

Stücklisten oder Bills of Material sind in der Fertigungsindustrie Standard. Die Software Bill of Material überträgt das Prinzip auf die Softwarebranche.

Artikel verschenken

22.09.2022, 06:05 Uhr

Lesezeit: 15 Min.

iX Magazin

Von

Udo Schneider

SBOMs: Wie Stücklisten für Software funktionieren
- Stücklisten in der Fertigung
SBOMs – Stücklisten für Software
Recycling bekannter Standards
Automatische Extraktion
Erstellung während des Builds
Fazit

Artikel in iX 10/2022 lesen

Die Zero-Day-Lücke Log4Shell und ihre Folgen sind auch mehr als ein halbes Jahr nach dem Vorfall immer noch das Paradebeispiel für die Verwundbarkeit der Softwarelieferkette und den Umgang damit. Manche halten sie für "die größte einzelne, kritischste Verwundbarkeit überhaupt". Sie erlaubt unter anderem das Erspähen interner Daten sowie Remote Code Execution.

Die Kombination aus hoher Verbreitung, einfacher Ausnutzung und einem maximal schädlichen Effekt macht Log4Shell so gefährlich: Die Lücke dient zur Verbreitung von Backdoors und Cryptominern, zum Stehlen von Informationen, zu DDoS-Angriffen oder der Übernahme ganzer VMware-Umgebungen. Check Point fand heraus, dass es 72 Stunden nach Veröffentlichung der Lücke schon über 830.000 Angriffe gab.

Zu diesem Zeitpunkt wussten vermutlich Hunderttausende von Anwendern nicht, dass die unscheinbare Java-Bibliothek überhaupt Teil ihres Softwarestacks ist. Fragte man seinen direkten Zulieferer, war dieser oft genauso ratlos. Betroffen können aber auch Unternehmen sein, die SaaS-Angebote nutzen und deren Dienstleiter Log4j in seiner mehr oder weniger langen Abhängigkeitskette hatte, oder Organisationen, deren Dienstleister betroffene Cloud-Angebote nutzt. Hier bestehen streng genommen also nicht nur Software-, sondern auch Serviceabhängigkeiten.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Fürs Homeoffice: Elektrisch höhenverstellbare Schreibtische im Test

Acht Stunden lang sitzen – danach schmerzt der Rücken. Elektrische Stehschreibtische erleichtern es, sich im Büroalltag zu bewegen. Wir testen vier Modelle.

Ikea Home Smart im Überblick

Funktionsweise von Passkeys im Detail erklärt

Passkeys sind in allen Belangen sicherer als Passwörter. Warum das so ist, schlüsseln wir in diesem Deep Dive in die Funktionsweise von Passkeys auf.

Innovative,Ai,Robot,Tutor,Helping,A,Teenage,Boy,With,Homework,

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

Multi-Faktor-Authentifizierung im Unternehmen implementieren

Passwörter allein genügen nicht gegen Angriffe. Um Anwendungen zu schützen, müssen Firmen MFA nutzen. Tools wie Amazon Cognito helfen.

Security: Passkeys mit Open-Source-Tools nutzen

Sie können das sichere und komfortable Login-Verfahren auch mit Open-Source-Tools verwenden, ohne sich von Google oder Apple abhängig zu machen. So geht's!

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Fürs Homeoffice: Elektrisch höhenverstellbare Schreibtische im Test

Acht Stunden lang sitzen – danach schmerzt der Rücken. Elektrische Stehschreibtische erleichtern es, sich im Büroalltag zu bewegen. Wir testen vier Modelle.

Ikea Home Smart im Überblick

Funktionsweise von Passkeys im Detail erklärt

Passkeys sind in allen Belangen sicherer als Passwörter. Warum das so ist, schlüsseln wir in diesem Deep Dive in die Funktionsweise von Passkeys auf.

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

Multi-Faktor-Authentifizierung im Unternehmen implementieren

Passwörter allein genügen nicht gegen Angriffe. Um Anwendungen zu schützen, müssen Firmen MFA nutzen. Tools wie Amazon Cognito helfen.

Security: Passkeys mit Open-Source-Tools nutzen

Sie können das sichere und komfortable Login-Verfahren auch mit Open-Source-Tools verwenden, ohne sich von Google oder Apple abhängig zu machen. So geht's!

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

SBOMs: Wie Stücklisten für Software funktionieren

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Fürs Homeoffice: Elektrisch höhenverstellbare Schreibtische im Test

Funktionsweise von Passkeys im Detail erklärt

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Multi-Faktor-Authentifizierung im Unternehmen implementieren

Security: Passkeys mit Open-Source-Tools nutzen

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Fürs Homeoffice: Elektrisch höhenverstellbare Schreibtische im Test

Funktionsweise von Passkeys im Detail erklärt

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Multi-Faktor-Authentifizierung im Unternehmen implementieren

Security: Passkeys mit Open-Source-Tools nutzen

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.