Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. Codesignatur

SBOM in CodeSign Secure von Encryption Consulting verstehen

Geschrieben vonArier Kumar 11 Minuten
SBOM in der Code-Signierung
Inhaltsverzeichnis

Beim Einsatz digitaler Technologien ist die Gewährleistung der Sicherheit der Software-Lieferkette aufgrund der zunehmenden Häufigkeit und Komplexität von Cyberangriffen unerlässlich geworden. Jüngste Vorfälle wie der von SolarWinds Supply-Chain-Angriff und die Log4Shell-Sicherheitslücke haben die dringende Notwendigkeit von Transparenz und Sicherheit bei Softwarekomponenten verdeutlicht. Eine Software-Stückliste (SBOM) spielt in diesem Sicherheitsrahmen eine zentrale Rolle, da sie detaillierte Informationen zu allen Komponenten einer Softwareanwendung liefert.

Bei Integration mit CodesignaturSBOMs stellen sicher, dass Software authentisch und unverfälscht bleibt. Sie überprüfen nicht nur die Integrität und Authentizität des Codes, sondern katalogisieren auch dessen Zusammensetzung und bieten einen umfassenden Überblick über alle enthaltenen Komponenten. Die SBOMs von Encryption Consulting LLC CodeSign Secure Das Portal bietet SBOM als Schlüsselfunktion, mit der Benutzer ihren Code vor der Bereitstellung auf Schwachstellen prüfen können. Durch die Generierung eines SBOM-Scans bietet das Portal einen klaren Überblick über die Softwarestruktur und hilft Entwicklern, sicheren Code auf Plattformen wie GitHub zu übertragen.

Was ist SBOM?

Eine SBOM (Software Bill of Materials) ist eine vollständige Liste aller Komponenten, Bibliotheken, Abhängigkeiten und wichtigen Details wie Lizenzen und Versionen, die zum Erstellen einer Softwareanwendung verwendet werden. Sie ermöglicht es Unternehmen, die Zusammensetzung ihrer Software zu verstehen, potenzielle Sicherheitsrisiken zu erkennen und die Einhaltung branchenspezifischer Vorschriften sicherzustellen.

  • Identifizierung von Schwachstellen: Mithilfe von SBOMs können Unternehmen veraltete oder anfällige Komponenten identifizieren und so zeitnahe Aktualisierungen vornehmen.
  • Einhaltung Gesetzlicher Vorschriften: SBOMs sind durch die Executive Order 14028 der US-Regierung für Softwareanbieter aus dem Jahr 2021 vorgeschrieben und gewährleisten die Einhaltung von Standards wie NIST, ISO 27001 und DSGVO.
  • Risikomanagement: Durch die Transparenz der Software-Lieferkette tragen SBOMs dazu bei, Risiken durch Lieferkettenangriffe zu minimieren. Tools wie Syft, Trivy und verschiedene SPDX-Tools (z. B. SPDX SBOM Generator) werden häufig zum Erstellen dieser detaillierten Listen verwendet. So kann Ihr Unternehmen Schwachstellen in seinen Softwarekomponenten proaktiv identifizieren und beheben.

Geschichte von SBOM

Das SBOM-Konzept hat sich parallel zur zunehmenden Komplexität der Softwareentwicklung weiterentwickelt.

  • Anfang der 2010er Jahre: Der Bedarf an SBOM entstand durch die zunehmende Nutzung von Open-Source-Software, die die Nachverfolgung von Lizenzen und Schwachstellen erschwerte. SBOMs dienten ursprünglich dazu, Daten über Open-Source-Lizenzen für Softwarekomponenten zu aggregieren.
  • 2010: Die Linux Foundation führte das Software Package Data Exchange (SPDX)-Format ein, eine standardisierte Methode zur Dokumentation von Open-Source-Lizenzen und deren Einhaltung. SPDX wurde zur Grundlage von SBOM und erreichte 2021 den Status eines ISO-Standards (ISO/IEC 5962:2021).
  • 2017: OWASP (Open Web Application Security Project) veröffentlichte CycloneDX, ein sicherheitsorientiertes SBOM-Format zur Identifizierung von Schwachstellen, zur Sicherstellung der Lizenzkonformität und zur Analyse veralteter Komponenten. Sowohl SPDX als auch CycloneDX konnten sich aufgrund ihrer umfassenden Tool-Unterstützung und ihrer starken Übereinstimmung mit sich entwickelnden Sicherheitsrichtlinien und regulatorischen Anforderungen durchsetzen und sind daher für eine breite Anwendung bestens geeignet.
  • 2018-2021: Die National Telecommunications and Information Administration (NTIA) leitete einen Multi-Stakeholder-Prozess zur Förderung der SBOM-Einführung. Diese Bemühungen standardisierten SBOM-Praktiken und förderten ihren Einsatz branchenübergreifend. In dieser Zeit entstanden Open-Source-Tools wie Syft zur Generierung von SBOMs, oft gepaart mit Schwachstellenscannern wie Grype, um einen umfassenden Überblick über Softwarekomponenten und die damit verbundenen Risiken zu bieten.
  • 2021: Die Executive Order der US-Regierung zur Verbesserung der Cybersicherheit der Nation (Mai 2021) schreibt SBOMs für Softwarebeschaffungen auf Bundesebene vor und betont ihre Rolle bei der Sicherung von Software-Lieferketten.

Vorteile von SBOM

SBOMs bieten erhebliche Vorteile über den gesamten Software-Lebenszyklus hinweg und kommen Entwicklern, Käufern, Betreibern und dem gesamten Ökosystem zugute. Nachfolgend sind die wichtigsten Vorteile für die verschiedenen Benutzerrollen (wie Entwickler, Käufer oder Betreiber) aufgeführt, die auf Branchenkenntnissen und -strategien basieren:

Benutzerrollen Vorteile Beispiel
Entwicklung
  • Reduziert ungeplante Arbeiten: SBOMs unterstützen die frühzeitige Identifizierung anfälliger Komponenten und minimieren so unerwartete Fehlerbehebungen.
  • Verwaltet Abhängigkeiten: Verfolgt Abhängigkeiten und transitive Abhängigkeiten, um komplexe Software-Ökosysteme zu vereinfachen.
  • Gewährleistet die Einhaltung der Lizenzbestimmungen: Listet alle Lizenzen auf und hilft Entwicklern, Rechtsverstöße zu vermeiden.
  • Unterstützt Code-Review: Bietet eine übersichtliche Bestandsaufnahme und macht Codeüberprüfungen sicherer und effizienter.

Beispielsweise wird eine kritische Sicherheitslücke (CVE) für eine Open-Source-Bibliothek bekannt gegeben, die ein Finanzsoftwareunternehmen verwendet. Das Entwicklungsteam kann sofort seine internen SBOMs für alle seine Anwendungen abfragen.

Innerhalb weniger Minuten ermitteln sie, welche spezifischen Anwendungen betroffen sind, und zwar bis hin zur Version der anfälligen Bibliothek. Anschließend können sie Patches oder Upgrades für diese Anwendungen priorisieren und so deren Anfälligkeit für die neue Bedrohung minimieren, ohne unzählige Codezeilen manuell überprüfen zu müssen.
Käufer
  • Identifiziert Schwachstellen: Ermöglicht Käufern, Software vor dem Kauf auf bekannte Sicherheitsrisiken zu prüfen.
  • Überprüft die Beschaffung: Stellt sicher, dass die Komponenten aus vertrauenswürdigen Quellen stammen, wodurch die Risiken in der Lieferkette reduziert werden.
  • Stellt Compliance sicher: Hilft bei der Einhaltung gesetzlicher und organisatorischer Richtlinien.
  • Pläne für das Lebensende: Hebt Komponenten hervor, die möglicherweise nicht mehr unterstützt werden, und erleichtert so die langfristige Planung.
  • Reduziert Integrationsrisiken: Bietet Einblicke in die Softwarezusammensetzung und minimiert Integrationsprobleme.

Beispiel: Ein großes Unternehmen prüft zwei verschiedene Personalverwaltungssysteme konkurrierender Anbieter. „Anbieter A“ stellt eine detaillierte SBOM bereit, die alle Bibliotheken von Drittanbietern, ihre Lizenzen und bekannten Schwachstellen (mit Behebungsplänen) auflistet, während „Anbieter B“ keine SBOM bereitstellt.

Das Sicherheitsteam des Unternehmens kann das SBOM von Anbieter A verwenden, um das Sicherheitsniveau seines Produkts zuverlässig zu bewerten, potenzielle Lizenzkonflikte zu erkennen und Prüfern die gebotene Sorgfalt nachzuweisen, wodurch „Anbieter A“ zu einer wesentlich attraktiveren und vertrauenswürdigeren Wahl wird.
Betreiber
  • Schnelle Schwachstellenbewertung: Ermöglicht die schnelle Identifizierung betroffener Komponenten, wenn neue Schwachstellen entdeckt werden.
  • Fördert unabhängige Schadensbegrenzungen: Ermöglicht Betreibern, Risiken zu isolieren oder zu mindern, während sie auf Patches des Anbieters warten.
  • Unterstützt die Einhaltung von Vorschriften: Verbessert die Bestandsaufnahme und weist die Einhaltung von Sicherheitsstandards nach.
  • Reduziert Kosten: Optimiert die Verwaltung durch Konzentration der Bemühungen auf kritische Komponenten.

Beispielsweise wird eine neue, kritische Sicherheitslücke in einer weit verbreiteten Webserver-Komponente (z. B. OpenSSL) öffentlich bekannt. Das Betriebsteam kann diese Sicherheitslücke mit den SBOMs aller eingesetzten Anwendungen und Infrastrukturkomponenten abgleichen. So kann es sofort jeden Server oder jede Anwendung identifizieren, die die betroffene OpenSSL-Version verwendet.

Anstelle einer manuellen, zeitaufwändigen Prüfung können sie schnell gezielte Patches nur auf den betroffenen Systemen einleiten, wodurch die mittlere Reaktionszeit (MTTR) auf den Vorfall erheblich reduziert und die Systemverfügbarkeit aufrechterhalten wird.

Folgen der Nichtverwendung von SBOM

Die Nichteinführung von SBOM kann zu erheblichen Risiken und Schwachstellen führen, insbesondere angesichts unseres aktuellen Cyberspace und der damit verbundenen Bedrohungen.

FolgeBeschreibungBeispiel

Unsichere Produkte		Ohne ein SBOM bleiben Schwachstellen in Komponenten von Drittanbietern möglicherweise unentdeckt, was das Risiko von Cyberangriffen erhöht.Angriff auf die Lieferkette von SolarWinds (2020): Angreifer haben Schadcode in ein legitimes Software-Update von SolarWinds eingefügt, einem weit verbreiteten IT-Management-Unternehmen.

Eine SBOM für die SolarWinds Bei ordnungsgemäßer Verwendung hätte die Software dazu beitragen können, das Vorhandensein der nicht autorisierten, bösartigen Komponente während des Erstellungs- oder Bereitstellungsprozesses zu erkennen und so die Auswirkungen dieses weit verbreiteten Angriffs auf die Lieferkette möglicherweise zu verhindern oder erheblich einzuschränken.
Verpasste SicherheitsupdatesAufgrund der mangelnden Transparenz der Komponenten lässt sich nur schwer erkennen, wann Updates oder Patches erforderlich sind, wodurch die Software ungeschützt bleibt.Log4Shell-Sicherheitslücke (2021): Die kritische Log4Shell-Sicherheitslücke in der Apache Log4j-Bibliothek hatte Auswirkungen auf unzählige Anwendungen weltweit.

Unternehmen ohne SBOMs hatten große Schwierigkeiten, alle Instanzen von Log4j in ihren Systemen zu identifizieren. Sie mussten umfangreiche manuelle Scans der Codebasen und bereitgestellten Anwendungen durchführen, was zu verzögerten Patches und einer längeren Gefährdung durch eine schwerwiegende Sicherheitslücke bei der Remotecodeausführung führte.
Rechtliche HerausforderungenNicht verfolgte Lizenzen können zu Verstößen führen, die Rechtsstreitigkeiten, Geldstrafen und Reputationsschäden nach sich ziehen.GPL-Verstöße (zahlreiche Fälle): Viele Unternehmen wurden wegen Verstößen gegen Open-Source-Softwarelizenzen, insbesondere gegen die GNU General Public License (GPL), verklagt (oder gerieten ins öffentliche Visier).

Ohne ein SBOM, das die Lizenzen aller enthaltenen Komponenten klar dokumentiert, könnte ein Unternehmen versehentlich Software mit GPL-lizenziertem Code vertreiben, ohne den erforderlichen Quellcode bereitzustellen. Dies kann zu Klagen wegen Urheberrechtsverletzung, Produktrückrufen und erheblichen Reputationsschäden führen, wie in Fällen mit verschiedenen Herstellern eingebetteter Geräte oder Softwaredistributoren zu sehen ist.
Nicht erfüllte Compliance-AnforderungenBranchen wie das Gesundheitswesen benötigen SBOMs zur Einhaltung von Vorschriften (z. B. die „Refuse-to-accept“-Richtlinie der FDA). Die Nichteinhaltung kann zu Verzögerungen bei der Produkteinführung und zu Kosten führen.Medizinprodukteverordnung (FDA): Die US-amerikanische FDA verlangt durch Leitlinien und Richtlinien zunehmend von Herstellern medizinischer Geräte, SBOMs für ihre Software bereitzustellen.

Wenn ein Medizinprodukteunternehmen keine detaillierte und genaue SBOM für ein neues Gerät bereitstellt, kann dies dazu führen, dass sein Antrag von der FDA abgelehnt wird. Dies führt zu erheblichen Verzögerungen bei der Produktzulassung, zum Verlust von Marktchancen und zu erheblichen finanziellen Kosten im Zusammenhang mit der Nacharbeit und erneuten Einreichung.
Ineffiziente EntwicklungOhne SBOM sehen sich Entwickler mit Verzögerungen bei der Reaktion auf Vorfälle, Ressourcenverschwendung und Herausforderungen bei der Verwaltung von Abhängigkeiten konfrontiert, was zu aufgeblähtem Code führt.„Abhängigkeitshölle“: Ein Entwicklungsteam, das eine komplexe Anwendung ohne SBOM erstellt, könnte sich in einer „Abhängigkeitshölle“ wiederfinden, in der widersprüchliche Versionen von Bibliotheken zu Build-Fehlern oder Laufzeitfehlern führen.

Wenn eine Sicherheitslücke entdeckt wird, sind Entwickler aufgrund des Fehlens eines SBOM gezwungen, Abhängigkeiten manuell zu verfolgen. Sie verbringen möglicherweise Tage oder Wochen damit, die betroffenen Module und ihre transitiven Abhängigkeiten zu identifizieren, was zu Ineffizienz, Verzögerungen und höheren Entwicklungskosten führt.

Enterprise Code-Signing-Lösung

Holen Sie sich mit unserer Code-Signing-Lösung eine Lösung für alle Ihre kryptografischen Software-Code-Signing-Anforderungen.

Demo buchen

SBOM in der Code Signing-Lösung von Encryption Consulting

Encryption Consulting LLC's CodeSign Secure Das Portal integriert SBOM und bietet so eine robuste Lösung für Code Signing und Sicherheit. So nutzen Sie die SBOM-Funktion von CodeSign Secure:

Zugriff auf die SBOM-Funktion

  • Navigieren Sie zum Abschnitt „Systemeinrichtung“ im CodeSign Secure-Portal. Zugriffsfunktion

    • Starten Sie einen Scan

    • Klicken Sie auf die Schaltfläche „Code scannen“. Code scannen
    • Geben Sie die erforderlichen Details ein, einschließlich eines GitHub Personal Access Token (PAT) für den Repository-Zugriff. Geben Sie PAT ein
      1. So generieren Sie ein PAT:
      2. Gehen Sie zu GitHub-Einstellungen > Entwicklereinstellungen > Persönliche Zugriffstoken. PAT generieren
      3. Wählen Sie „Token (klassisch)“. GitHub-Einstellungen
      4. Klicken Sie auf „Neues Token generieren (klassisch)“. Tokens Classic
      5. Fügen Sie eine Token-Notiz hinzu und erteilen Sie Berechtigungen für „Repo“ und „Workflow“. Token generieren

    Code hochladen

  • Laden Sie Ihren Code als ZIP-Datei hoch und klicken Sie auf „Senden“.
    • Code hochladen

    Ergebnisse überprüfen

    • Wenn die Schwachstellen unter dem angegebenen Schwellenwert liegen, bestätigt eine Erfolgsmeldung, dass der Code sicher ist. Erfolgsmeldung Erfolgs-UI
    • Wenn die Schwachstellen den Schwellenwert überschreiten, werden Sie durch eine Warnmeldung aufgefordert, die Probleme zu beheben. Warnmeldung

    SBOMs werden für Unternehmen zu einer strategischen Notwendigkeit, getrieben durch gesetzliche Auflagen, die Akzeptanz in der Branche und die Notwendigkeit von Transparenz in Software-Lieferketten.

    Marktwachstum

    Der SBOM-Markt verzeichnet ein rasantes Wachstum. Prognosen gehen davon aus, dass er im Jahr 2025 1.318 Milliarden US-Dollar erreichen wird. Dies ist ein bemerkenswertes Wachstum bei einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 24 % zwischen 2025 und 2033. (Marktberichtsanalyse). Dieses Wachstum ist auf zunehmende regulatorische Auflagen und ein gesteigertes Bewusstsein für Schwachstellen in komplexen Software-Ökosystemen zurückzuführen. Branchen wie Finanzdienstleistungen, Gesundheitswesen und Behörden sind aufgrund ihrer Sensibilität für Sicherheitsverletzungen und strenger Compliance-Anforderungen führend bei der Einführung dieser Technologie.

    Regulatorischer Schub

    Regulierungsbehörden weltweit erkennen SBOMs als unerlässlich für die Sicherung von Software-Lieferketten an. In den USA ist die Cybersecurity and Infrastructure Security Agency (CISA SBOM) hat SBOMs für den Erwerb von Bundessoftware vorgeschrieben, eine Anforderung, die durch die Executive Order zur Verbesserung der Cybersicherheit der Nation aus dem Jahr 2021 bekräftigt wurde. Auf internationaler Ebene führen Regionen wie die Europäische Union und der asiatisch-pazifische Raum ähnliche Vorschriften ein, insbesondere für kritische Infrastrukturen und Hochrisikosektoren. Laut Berichten von ISACADiese Mandate zwingen Unternehmen dazu, SBOMs in ihre Entwicklungs- und Beschaffungsprozesse zu integrieren und sie zu einer Standardpraxis für Compliance und Risikomanagement zu machen.

    Technologische Entwicklung

    Die Zukunft von SBOMs ist geprägt von Innovation und einer stärkeren Integration in die Softwareentwicklungspraktiken. Mit der Weiterentwicklung dieser Trends werden SBOMs eine immer zentralere Rolle bei der Sicherung von Software-Ökosystemen spielen.

    • Automatisierung und Integration: Automatisierung und Integration mit DevSecOps werden nahtlos und ermöglichen Sicherheitseinblicke in Echtzeit durch Tools, die die SBOM-Generierung vereinfachen und die Genauigkeit verbessern.
    • Vulnerability Exploitability eXchange (VEX): Die Entwicklung von Standards wie dem Vulnerability Exploitability eXchange (VEX) ergänzt SBOMs, indem sie Kontext zur Ausnutzbarkeit von Schwachstellen liefert. VEX ermöglicht es Unternehmen, mitzuteilen, ob eine bekannte Schwachstelle (CVE) in einer in einem SBOM aufgeführten Komponente in ihrem spezifischen Produkt oder ihrer Umgebung ausnutzbar ist. Dies hilft, irrelevante CVEs herauszufiltern und die „Alarmmüdigkeit“ deutlich zu reduzieren, sodass sich Sicherheitsteams auf die tatsächlichen Risiken konzentrieren können.
    • KI/ML-Verbesserungen: Neue Technologien wie KI/ML werden die SBOM-Analyse verbessern, indem sie bessere Einblicke in die Risiken der Lieferkette bieten, potenzielle Schwachstellen vorhersagen und automatisierte Abhilfevorschläge verbessern.

    Fazit

    Die Software-Stückliste (SBOM) ist ein wichtiges Instrument für Unternehmen, um die Komplexität moderner Softwareentwicklung zu bewältigen. SBOMs ermöglichen es Unternehmen, Risiken zu managen, Compliance sicherzustellen und sichere Anwendungen zu erstellen, indem sie Transparenz über Softwarekomponenten schaffen.

    Encryption Consulting LLC's CodeSign Secure nutzt SBOM, um Benutzern beim Scannen von Code, beim Identifizieren von Schwachstellen und beim sicheren Deployment zu helfen. Darüber hinaus ist es eine zukunftssichere Lösung für Softwareintegrität. Es bietet robuste Unterstützung für reproduzierbare Builds und gewährleistet die konsistente und überprüfbare Rekonstruktion von Softwareartefakten vor der Signierung mittels Pre-/Post-Hash-Validierung. Darüber hinaus erleichtert CodeSign Secure den Übergang zu Post-Quanten-Kryptographie (PQC) und hilft Organisationen dabei, ihre Signaturprozesse proaktiv anzupassen, um den Bedrohungen durch zukünftige Fortschritte im Bereich des Quantencomputings zu widerstehen.

    Durch die Automatisierung von Arbeitsabläufen, die Gewährleistung der Compliance und die Nutzung erweiterter Sicherheitsfunktionen wie Schwachstellenscans, reproduzierbare Builds und Post-Quanten-Kryptografie (PQC) ermöglicht CodeSign Secure Unternehmen, ihre Software-Assets zu schützen und gleichzeitig das Vertrauen in ihre Produkte aufrechtzuerhalten.

    Entdecken Sie unsere

    Verwandte Blogs

    Bedeutung der Firmware-Signierung

    Bootloader-Vertrauen: Die entscheidende Rolle der Firmware-Signatur

    5. Juni 2026
    Integration von Post-Quanten-Kryptographie in Codesignatur-Workflows

    Integration von Post-Quanten-Kryptographie in Codesignatur-Workflows

    2. Juni 2026
    Integrieren Sie CodeSign Secure in Ihre CircleCI-Pipeline

    So integrieren Sie CodeSign Secure in Ihre CircleCI-Pipeline

    May 13, 2026

    Entdecken

    Weitere Themen