Thema: Software Bill of Materials, kurz SBOM - wer hat das?

Einzelnen Beitrag anzeigen

johndoe049

Registriert seit: 22. Okt 2006
169 Beiträge
 
#2

AW: Software Bill of Materials, kurz SBOM - wer hat das?

  Alt 8. Aug 2023, 12:59
Machen wir schon länger, aber in einer für uns angepassten Version, damit wir selbst wissen, was wir alles in den Projekten verwenden.

Zentrale Excel Liste in dem die Projekte mit den verwendeten extern bezogenen Bibliothekten und den Installationsanpassungen von Delphi. D.h. die Installationen von Getit.

Werden wir wohl in eine Datenbank zusammenfassen, damit man die so exportieren kann, wie das BSI das will.

In der EU Vorgabe und den US Vorgaben habe ich jetzt nichts gelesen, dass ein bestimmtes elektronische Format vorgegeben wird. Nur dass man CVEs mit den Bibliotheken zu prüfen hat. Hab ich da was überlesen.

Was Embarcadero so einsetzt wird wohl Embarcadero auflisten können/müssen, wenn Europa in absehbarer Zeit nicht als Kundenregion wegfallen soll.


Bei Lazarus und Pilotlogic düfte die Menge an verwendeten Freewarekomponenten problematisch sein. Wie will man hier alles auflisten. Kann man freie Compiler in Zukunft noch für kommerzielle Projekte nutzen? Anderes Problem: Was macht man mit eingesetzter Freeware im Unternehmen? Ohne Werbung zu machen fallen mir vier Produkte ein, die ein Risiko sein könnten (PDF24, Hmailserver, Multicommander, VNC).

Letztendlich wird es für Freewarecompiler und die freie Komponenten aufwendiger werden, die Regularien einzuhalten. Mal sehen, was alles in nächster Zeit vom Markt verschwinden wird.

NACHTRAG:
- Was macht man eigentlich mit alter Software/Maschinen, wenn der Cyber Resilence Act aktiv wird? Grade im Bereich von Produktionsmaschinen gibt es machmal alte Systeme, die nicht mehr seitens Hersteller gepflegt werden? Die mal einfach so austauschen kann grade bei Produktionsmaschinen sehr teuer werden.
- Microsoft Access mit ActiveX Komponenten kann auch ein Problem werden. Woher die Komponentenliste bekommen und die darin verwendeten Komponenten?
- Auch ist nicht aufgeführt, was Firmen mit alten Verwaltungsprogrammen wie z.B. Warenwirtschaft machen, die zwar noch ausreicht, aber mal individuell erstellt wurde oder wo der Hersteller das Produkt aufgegeben hat. Grade bei Firmen, die kaum Budget für aktuelle Software haben und Buchhaltung/Lohnabrechnung beim Steuerberater haben, kann das ein Problem werden.

Scheint so, dass da irgendwie noch einige Betrachtungspunkte in den Vorgaben für SBOM/Cyber Resilence fehlen. . .
Geändert von johndoe049 ( 8. Aug 2023 um 13:08 Uhr) Grund: Nachtrag hinzugefügt
  Mit Zitat antworten Zitat