SBOMs: Wie Stücklisten für Software funktionieren
Stücklisten oder Bills of Material sind in der Fertigungsindustrie Standard. Die Software Bill of Material überträgt das Prinzip auf die Softwarebranche.
- Udo Schneider
Die Zero-Day-Lücke Log4Shell und ihre Folgen sind auch mehr als ein halbes Jahr nach dem Vorfall immer noch das Paradebeispiel für die Verwundbarkeit der Softwarelieferkette und den Umgang damit. Manche halten sie für "die größte einzelne, kritischste Verwundbarkeit überhaupt". Sie erlaubt unter anderem das Erspähen interner Daten sowie Remote Code Execution.
Die Kombination aus hoher Verbreitung, einfacher Ausnutzung und einem maximal schädlichen Effekt macht Log4Shell so gefährlich: Die Lücke dient zur Verbreitung von Backdoors und Cryptominern, zum Stehlen von Informationen, zu DDoS-Angriffen oder der Übernahme ganzer VMware-Umgebungen. Check Point fand heraus, dass es 72 Stunden nach Veröffentlichung der Lücke schon über 830.000 Angriffe gab.
Zu diesem Zeitpunkt wussten vermutlich Hunderttausende von Anwendern nicht, dass die unscheinbare Java-Bibliothek überhaupt Teil ihres Softwarestacks ist. Fragte man seinen direkten Zulieferer, war dieser oft genauso ratlos. Betroffen können aber auch Unternehmen sein, die SaaS-Angebote nutzen und deren Dienstleiter Log4j in seiner mehr oder weniger langen Abhängigkeitskette hatte, oder Organisationen, deren Dienstleister betroffene Cloud-Angebote nutzt. Hier bestehen streng genommen also nicht nur Software-, sondern auch Serviceabhängigkeiten.
Das war die Leseprobe unseres heise-Plus-Artikels "SBOMs: Wie Stücklisten für Software funktionieren". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.