Syft: Sicherheit für die Softwarelieferkette
Syft erstellt Software Bills of Materials von komplexen Softwarearchitekturen in Containern und hilft, Schwachstellen zu finden. Diese entstehen etwa durch Komponenten, die als nicht genannte Abhängigkeiten des eigentlichen Produkts unerkannt bleiben.
Ein breites Angebot von Open-Source-Komponenten, agile Methoden und DevOps-Konzepte haben die Entwicklungszyklen von Software stark beschleunigt. Die Bereitstellungsintervalle verkürzen sich dadurch ebenfalls und Deployments erfolgen serverseitig häufig als Container, die nicht selten Hunderte verschiedene Softwarekomponenten unterschiedlichster Herkunft enthalten. Jede einzelne stellt ein potenzielles Sicherheitsrisiko dar, das sich durch die genaue Kenntnis der Komponenten in einem Container entscheidend reduzieren lässt.
Syft von Anchore ist ein solches Werkzeug und als Open Source verfügbar. Es erzeugt eine Software Bill of Materials (SBOM) mit ausführlichen Informationen zur Zusammensetzung eines Softwarecontainers. Der Begriff Bill of Materials stammt aus der Fertigungsindustrie und bezeichnet eine detaillierte Liste aller Materialien zur Herstellung eines Produkts. Analog dazu ist eine Software Bill of Materials eine Liste der Komponenten in einem Softwareprodukt.