Risiken erkennen bevor Schaden entsteht

– Vulnerability Management mit der SBOM

Sichern Sie Ihre Software-Lieferkette mit der SBOM:

Mit einer Software Bill of Materials (SBOM) und Vulnerability Management erkennen Sie frühzeitig Schwachstellen und managen proaktiv Risiken.

 

 

Stellen Sie sich vor, Sie hören gerade von einer Sicherheitslücke in einer viel benutzten Softwarekomponente, die weltweit viele Anwendungen betreffen könnte. Sie wissen aber nicht, ob diese auch in den von Ihnen benutzen Anwendungen enthalten ist. Also fragen Sie nach, um einen Aktionsplan erstellen zu können.

Gerade wollen Sie loslegen und finden eine Nachricht von einem Ihrer Dienstleister im Postfach.

Zwei seiner Anwendungen sind nicht betroffen, doch zu einer dritten, die auch Sie einsetzen, empfiehlt er ihnen dringend ein bereits bereitgestelltes Update zu installieren.

Wie konnte der Dienstleister so schnell reagieren?

Dank des Einsatzes einer Software Bill of Materials (SBOM) und eines robusten Dependency Trackings konnte der Dienstleister die CVE schon am Vortag identifizieren und die betroffene Komponente proaktiv patchen. So wurden potenzielle Risiken neutralisiert, bevor sie geschäftskritisch werden konnten.

 
In diesem Beispiel könnte auch Ihre nächste Erfolgsgeschichte liegen
– dank einer SBOM und der conplement AG als Ihr Softwaredienstleister.

 

 

Rechtliche Einordnung

Die rechtlichen Rahmenbedingungen für Software Bills of Materials (SBOMs) werden in Deutschland durch Empfehlungen und Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und durch den europäischen Cyber Resilience Act (CRA) beeinflusst.

Security by Design: Die Rolle der SBOM in der Schwachstellenanalyse und Compliance

Die SBOM sollte idealerweise zusammen mit der Generierung der Software erstellt werden und danach direkt für die Schwachstellenanalyse der Softwarekomponenten verwendet werden. Dies wird oft als Teil des CI/CD-Prozesses (Continuous Integration/Continuous Deployment) implementiert, um sicherzustellen, dass die SBOM aktuell bleibt und alle Änderungen in der Software berücksichtigt werden. Ein wichtiger Aspekt der Implementierung ist es, zu berücksichtigen, dass die SBOM für jede erstellte Version existieren muss, um alle erdenklichen Varianten im Feld tracken zu können. Auf der rechtlichen Seite beschreibt dies der CRA für die Nutzer von Software und weißt darauf hin, wie wichtig es ist zu wissen, dass keine anfälligen Komponenten in den eigenen Produkten enthalten sind, die von Dritten entwickelt wurden.

"...Für die Hersteller ist es besonders wichtig, sich zu vergewissern, dass ihre Produkte keine anfälligen Komponenten enthalten, die von Dritten entwickelt wurden."
Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) (37)

 

Die Software Bill of Materials (SBOM)

Eine Software Bill of Materials ist eine detaillierte Liste aller Komponenten, Bibliotheken und Abhängigkeiten, die in einer Software enthalten sind und dient dazu, Transparenz und Nachverfolgbarkeit für Sicherheits- und Compliance-Zwecke zu gewährleisten.

 

SBOM Incident Mangement Software Bill of Materials

 

Die Hauptvorteile der SBOM im Einzelnen

Dependency Tracking

 
Unser Ansatz: Kontinuierliche Analyse und Überwachung der SBOM in Echtzeit 

Unser Dependency Tracking basiert auf einem kontinuierlichen Analyseansatz, der es Ihnen ermöglicht, SBOMs (Software Bill of Materials) in Echtzeit zu analysieren. Das System ist darauf ausgelegt, nahtlos in moderne CI/CD-Pipelines integriert zu werden, sodass Sicherheitsprobleme frühzeitig und automatisiert identifiziert werden können. Sie erhalten durchgängige Einblicke in all Ihre Projekte, erkennen schnell, welche Komponenten betroffen sind, und können gezielt reagieren.

 

 

 

Dependency Track Dashboard
Dependency Tracking Dashboard

Die Vorteile für Ihr Unternehmen

 

Fortlaufende Integration:

Dank der hohen Geschwindigkeit bei der Analyse von SBOMs eignet sich unsere Plattform ideal für moderne Build Pipelines. Sie bleiben immer einen Schritt voraus und können potenzielle Risiken bereits während des Entwicklungsprozesses erkennen und beheben.

Tiefgreifende Einblicke:

Identifizieren Sie Risiken in allen Ihren Assets und Applikationen. Unsere Plattform bietet Ihnen die Möglichkeit, schnell zu erfassen, welche Komponenten betroffen sind und wo Handlungsbedarf besteht.

Kontinuierliche Transparenz:

Erhalten Sie eine vollständige Inventur Ihrer Softwarekomponenten, die weit über das hinausgeht, was traditionelle Lösungen bieten. Optional können Sie SBOMs auch an andere Akteure in Ihrer Lieferkette weitergeben und so die Sicherheit in Ihrem gesamten Netzwerk erhöhen.

Vollständiger Stack-Überblick:

Von Bibliotheken und Frameworks bis hin zu Betriebssystemen und Hardware - Unser Dependency Tracking bietet Ihnen eine präzise und vollständige Übersicht über alle genutzten Komponenten.

Schnelle Identifizierung und Behebung von Schwachstellen:

Mit der Unterstützung mehrerer Quellen für Schwachstelleninformationen bringt unser Dependency Tracking gefährdete Komponenten ans Licht, sodass Sie umgehend reagieren können.

SBOM omnect device management
Vulnerability Dashboard in omnect Device Management

Plattform-Features, die den Unterschied machen

Mit der richtigen Plattform für Vulnerability Management lassen sich Probleme schon im Vorfeld vermeiden – und genau hier kommt unser Dependency Tracking ins Spiel, unterstützt durch die Software Bill of Materials (SBOM). Es bietet eine Vielzahl an Funktionen, die für Sie den Unterschied machen: Eine nahtlose Integration in bekannte Schwachstellen-Datenbanken ermöglicht eine proaktive Sicherheitsstrategie. Durch Policy Evaluation wird sichergestellt, dass Ihre Projekte stets den geltenden Sicherheits-, Betriebs- und Lizenzvorgaben entsprechen. Und mit der Impact Analysis können Schwachstellen schnell identifiziert und behoben werden, während Exploit Prediction hilft, Prioritäten basierend auf Vorhersagemodellen zu setzen.

Dank eines effizienten Auditing Workflows behalten Sie stets den Überblick über getroffene Entscheidungen und deren Dokumentation. Die automatische Outdated Version Detection erkennt veraltete Komponenten und unterstützt die Aktualisierung. Mit einem Fullstack Inventory können alle genutzten Komponenten Ihres Portfolios lückenlos verfolgt werden.

Die Plattform erstellt und unterstützt CycloneDX SBOMs – ein OWASP-Standard, der in der BSI-TR-03183-2 explizit genannt wird und bietet durch Vulnerability Aggregation eine konsolidierte Darstellung aller Schwachstellen.

Unser Dependency Tracking erfüllt und übertrifft offizielle Sicherheitsanforderungen wie NIST VDR und CISA VEX und ermöglicht durch automatisierte Benachrichtigungen die reibungslose Integration in gängige Kollaborations-Tools. Enterprise Ready Features wie SSO, Active Directory Unterstützung und eine umfangreiche API zur einfachen Systemintegration machen unser Dependency Tracking zur optimalen Wahl für Unternehmen. Zudem bietet die Plattform Time Series Metrics, um den Verlauf von Risiken und Compliance-Verstößen detailliert nachzuverfolgen. Als Open-Source-Lösung unter der Apache 2.0 Lizenz profitieren Sie außerdem von einer aktiven Community, die die kontinuierliche Weiterentwicklung und Verbesserung der Plattform unterstützt.

 

Einsatz bei Projekten der conplement AG

Bei der conplement AG setzen wir in allen Kundenprojekten und auch in unseren eigenen Lösungen und Produkten streng auf das Prinzip „Security by Design“. Aus diesem Grund steht die Softwaresicherheit an erster Stelle und wir haben entsprechende Prozesse in unserem Alltag und bei unseren Kunden etabliert. Dienstleistungen in allen Facetten der Softwareentwicklung sowie kundenspezifische Anpassungen, wie beispielsweise eine Synchronisation der Security Findings nach Azure DevOps, optimieren Ihre Prozesse und erhöhen die Softwaresicherheit.

Wir bieten Ihnen im Bereich der Softwaredienstleistung viele Lösungen an. Beginnend bei kleineren Security Betrachtungen bis hin zur Erstellung einer TRA (Threat Risk Assessment) in Zusammenarbeit mit Ihnen. Hier nutzen wir regelmäßig ein eigens entwickeltes Tool, welches sich an den Business Model Canvas anlehnt und eine ganzheitliche Security Betrachtung ermöglicht – unseren Security Canvas. Zusammen mit der Expertise unserer Security Experten erreichen Sie so schnell und punktgenau die für Ihren Anwendungsfall passenden Ergebnisse.

Security Canvas angelehnt an den Business Model Canvas

Bei unseren eigenen Produkten (omnect und twinsphere), wie auch in Kundenprojekten, setzen wir strikt auf die Erstellung einer SBOM, welche automatisch innerhalb des CI/CD (Continuous Integration / Continuous Delivery) Prozesses erstellt und in eine Dependency Tracking Plattform integriert wird. So werden die Entwickler sofort auf Probleme aufmerksam und können schnellstmöglich reagieren und Updates bereitstellen. Den Ansatz "Security by Design" finden Sie auch in omnect Secure OS, unserem sicheren Managed Linux OS, das speziell für Hersteller von Edge-Geräten und Komponentenhersteller entwickelt wurde. Es sorgt für einen kontinuierlichen Betrieb, starke Sicherheit und die Einhaltung relevanter Vorschriften. Das sichere Linux erfüllt die Anforderungen an ein modernes Embedded Linux mit modernster Technologie der conplement AG.

Starten auch Sie mit unserem Security Canvas

Nehmen Sie jetzt Kontakt auf und lassen Sie uns Ihr

Softwareprojekt erfolgreich umsetzen.

Vereinbaren Sie einen Termin mit Uwe Lächele, Sales Manager Digital Solutions, um

  • gemeinsam Ihre Security Strategie zu betrachten, 
  • die Erstellung von SBOMS in Ihrem Szenario zu erläutern,
  • unser Dependency Tracking in Ihre CI/CD-Pipeline zu integrieren.

 

Christian-Portraits_GROSS

Christian Günther

Innovation & Portfolio Architect, TOPIC OWNER Digital Twin
Sebastian_Runde-Portraits_trans

Sebastian Fischer

Produktmanager omnect

Ihr Ansprechpartner für Digital Twin

×

Wie können wir Sie bei Ihrem Digitalen Zwilling unterstützen?

13_Christian-G_mit_rand

 Christian Günther

Innovation & Portfolio Architect
TOPIC OWNER Digital Twin

Tel. +49 1511 22 40 942
christian.guenther@conplement.de

Jetzt Digital Twin Newsletter abonnieren

×

Jetzt Kontakt aufnehmen

Thomas_Rund_tranzparentThomas Wahle
Vorstand

 

×

Jetzt Kontakt aufnehmen

Britta_Rund_tranzparentBritta Waligora
Vorstand

×

Jetzt Kontakt aufnehmen

Uwe_Rund_tranzparent

Uwe Lächele
Sales Manger

×

Jetzt Kontakt aufnehmen

Christian-G_Runde-Portraits

Christian Günther
Innovation & Portfolio Architect
Topic Owner Digital Twin

×

Jetzt Kontakt aufnehmen

Sebastian_Runde-Portraits_trans

Sebastian Fischer
Produktmanager omnect

×