Seite 4: Fazit: Gezielte Vorsorge schützt vor Schwachstellen

Inhaltsverzeichnis

Die im Artikel beschriebenen Methoden und Techniken helfen dabei, einen Überblick über die gesamte Anwendungslandschaft zu erzeugen und Sicherheitslücken in der Software Supply Chain frühzeitig zu identifizieren, um so das Risiko zu reduzieren, Opfer einer Cyberattacke zu werden.

Die wichtigsten empfehlenswerten Maßnahmen noch einmal zusammengefasst:

• Generieren von SBOMs für eigenentwickelte Software (automatisiert im Rahmen von CI/CD);
• Verpflichtung der Hersteller von Software zum Bereitstellen einer SBOM zu jeder ausgelieferten Version (Aufnahme in Ausschreibungen);
• Einführung einer Software zur kontinuierlichen Analyse von SBOMs;
• Ausführungsschicht überwachen;
• Plan zum Umgang mit den Analyseergebnissen festlegen;
• kontinuierlich fixen und deployen.

Die durch die beschriebenen Maßnahmen entstehende Transparenz löst sicherlich nicht bei allen Betroffenen Glücksgefühle aus. Doch in Anbetracht der täglich zunehmenden Cyberattacken wäre es grob fahrlässig, nach dem Motto "Was ich nicht weiß …" zu verfahren – zumal es als Entschuldigung im Schadensfall inakzeptabel ist. Andererseits sollten Softwarehersteller aktiv SBOMs bereitstellen und sich um kontinuierliches Aktualisieren ihrer Software und der darin enthaltenen Third-Party-Libraries bemühen.

Eine Infografik fasst die wichtigsten Erkenntnisse zusammen. Happy patching!

Stephan Kaps
leitet die Softwareentwicklung im Bundesamt für Soziale Sicherung und ist Gründer der Java User Group Bonn.

(map)