AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Softwareentwicklung im Allgemeinen Softwaretests und Qualitätssicherung Software Bill of Materials, kurz SBOM - wer hat das?
Thema durchsuchen
Ansicht
Themen-Optionen

Software Bill of Materials, kurz SBOM - wer hat das?

Ein Thema von Sherlock · begonnen am 8. Aug 2023 · letzter Beitrag vom 10. Aug 2023
Antwort Antwort
Benutzerbild von Sherlock
Sherlock

Registriert seit: 10. Jan 2006
Ort: Offenbach
3.797 Beiträge
 
Delphi 12 Athens
 
#1

Software Bill of Materials, kurz SBOM - wer hat das?

  Alt 8. Aug 2023, 11:46
Es gibt im Bereich der IT Sicherheit ein kleines Nischenprodukt, von dem unsereins sicherlich kaum etwas gehört haben dürfte: den SBOM. Das ist kurz gesagt eine Stückliste, wie es sie für andere Produkte schon lange gibt. Nur eben bezogen auf Software, das interessante daran ist, daß sie dem Anwender zur Verfügung gestellt wird, weil er so abschätzen können soll, wie sicher seine Umgebung sein muß, um das Produkt zu benutzen (auch wieder kurz gesagt). Jetzt bieten wir alle wohl nur in Ausnahmefällen Steuerungen für Kernkraftwerke an, und denken, das betrifft uns nicht. Da kommt dann das hier ins Spiel:
https://www.heise.de/news/Zutatenlis...f-9235853.html
Noch ist es etwas weich formuliert:
Zitat:
Eine SBOM sollte laut dem BSI bei jedem Software-Ersteller und -Anbieter vorhanden sein, um die Komplexität genutzter Programme transparent darstellen zu können.
Aber es folgt wohl sehr bald eine Pflicht dazu, dank EU und dem Cyber Resilience Act. Jetzt kommen wir ins Spiel. Delphi Entwickler die unter Umständen nur die Bordmittel zur Entwicklung verwenden und nun einen SBOM erstellen sollen, der eben keine schnöde Liste ist, sondern einer wohldefinierten Struktur genügen muß. Was kommt da rein? Embarcadero Delphi 11.3? Das kann nicht ausreichen, Emba selbst hat sicherlich noch eine Liste an Komponenten dazugekauft, die aufgelistet werden müßten. Einen SBOM findet man aber nicht, dank auch der unglückseligen Abkürzung, die fast immer nur zu "Byte order Mark" führt, selten zu "Bill of Materials". Vor allem im Delphi-Kontext. In der englischen DP gabs bereits eine ähnlich Frage, mit wenig Resonanz: https://en.delphipraxis.net/topic/93...ol-for-delphi/

TL;DR: Wer hat schon einen SBOM erzeugt? Und wie?

Sherlock
Oliver
Geändert von Sherlock (Morgen um 16:78 Uhr) Grund: Weil ich es kann
  Mit Zitat antworten Zitat
johndoe049

Registriert seit: 22. Okt 2006
167 Beiträge
 
#2

AW: Software Bill of Materials, kurz SBOM - wer hat das?

  Alt 8. Aug 2023, 12:59
Machen wir schon länger, aber in einer für uns angepassten Version, damit wir selbst wissen, was wir alles in den Projekten verwenden.

Zentrale Excel Liste in dem die Projekte mit den verwendeten extern bezogenen Bibliothekten und den Installationsanpassungen von Delphi. D.h. die Installationen von Getit.

Werden wir wohl in eine Datenbank zusammenfassen, damit man die so exportieren kann, wie das BSI das will.

In der EU Vorgabe und den US Vorgaben habe ich jetzt nichts gelesen, dass ein bestimmtes elektronische Format vorgegeben wird. Nur dass man CVEs mit den Bibliotheken zu prüfen hat. Hab ich da was überlesen.

Was Embarcadero so einsetzt wird wohl Embarcadero auflisten können/müssen, wenn Europa in absehbarer Zeit nicht als Kundenregion wegfallen soll.


Bei Lazarus und Pilotlogic düfte die Menge an verwendeten Freewarekomponenten problematisch sein. Wie will man hier alles auflisten. Kann man freie Compiler in Zukunft noch für kommerzielle Projekte nutzen? Anderes Problem: Was macht man mit eingesetzter Freeware im Unternehmen? Ohne Werbung zu machen fallen mir vier Produkte ein, die ein Risiko sein könnten (PDF24, Hmailserver, Multicommander, VNC).

Letztendlich wird es für Freewarecompiler und die freie Komponenten aufwendiger werden, die Regularien einzuhalten. Mal sehen, was alles in nächster Zeit vom Markt verschwinden wird.

NACHTRAG:
- Was macht man eigentlich mit alter Software/Maschinen, wenn der Cyber Resilence Act aktiv wird? Grade im Bereich von Produktionsmaschinen gibt es machmal alte Systeme, die nicht mehr seitens Hersteller gepflegt werden? Die mal einfach so austauschen kann grade bei Produktionsmaschinen sehr teuer werden.
- Microsoft Access mit ActiveX Komponenten kann auch ein Problem werden. Woher die Komponentenliste bekommen und die darin verwendeten Komponenten?
- Auch ist nicht aufgeführt, was Firmen mit alten Verwaltungsprogrammen wie z.B. Warenwirtschaft machen, die zwar noch ausreicht, aber mal individuell erstellt wurde oder wo der Hersteller das Produkt aufgegeben hat. Grade bei Firmen, die kaum Budget für aktuelle Software haben und Buchhaltung/Lohnabrechnung beim Steuerberater haben, kann das ein Problem werden.

Scheint so, dass da irgendwie noch einige Betrachtungspunkte in den Vorgaben für SBOM/Cyber Resilence fehlen. . .

Geändert von johndoe049 ( 8. Aug 2023 um 13:08 Uhr) Grund: Nachtrag hinzugefügt
  Mit Zitat antworten Zitat
Benutzerbild von joachimd
joachimd

Registriert seit: 17. Feb 2005
Ort: Weitingen
678 Beiträge
 
Delphi 12 Athens
 
#3

AW: Software Bill of Materials, kurz SBOM - wer hat das?

  Alt 8. Aug 2023, 15:29
gerade im Bereich OpenSource verbreitet. Damit kann man schneller feststellen, ob man von einer Sicherheitslücke wie log4j betroffen ist. Zudem kommen da auch die Lizenzen rein, damit man Inkompatibilitäten vermeidet.
Allerdings gibt es derzeit noch kein standardisirtes Format. Zu den gängigen SBOM-Formaten gehören:
  • Software Package Data Exchange (SPDX)
  • Software Identification (SWID) Tagging und
  • OWASP CycloneDX
Ein guter Artikel auch hier: https://www.csoonline.com/de/a/die-8...-tools,3674056
Joachim Dürr
Joachim Dürr Softwareengineering
http://www.jd-engineering.de
  Mit Zitat antworten Zitat
Benutzerbild von Harry Stahl
Harry Stahl

Registriert seit: 2. Apr 2004
Ort: Bonn
2.530 Beiträge
 
Delphi 11 Alexandria
 
#4

AW: Software Bill of Materials, kurz SBOM - wer hat das?

  Alt 10. Aug 2023, 16:16
TL;DR: Wer hat schon einen SBOM erzeugt? Und wie?
Sherlock
Ich verwalte schon seit einigen Jahren die benutzten Software-Komponenten, erfasse dabei Name, Version, Hersteller, Kaufdatum, Lizenzdauer, Lizenzdaten, usw. Zunächst habe ich das in einer einfachen Datenbank gemacht, seit PPME Version 5 mache ich es dort.

Unter "Komponenten" werden alle überhaupt vorhandenen Komponenten erfasst. Zu jedem Projekt kann man dann die dort benutzten Komponenten erfassen (siehe anliegenden Screenshot) und dann z.B. die verwendete Komponentenliste des Projekts im Rahmen des Projekt-Ausdrucks (auch oder nur) drucken lassen.

Aktuell sieht der Entwurf des EU-Rates noch kein bestimmtes Format für die SBOM vor, die Kommission wird aber ermächtigt per sogenannten Implementing Act hierfür ein konkretes Format vorzugeben. Solange das nicht geschehen ist, steht es Dir relativ frei in welcher Form und in welchem Format (Text-Datei, PDF, usw.) Du die Infos zur Verfügung stellst.

Inzwischen gibt es eine sog. Rats-Fassung der "Allgemeinen Ausrichtung", mit der dann voraussichtlich im September das TRILOG-Verfahren starten wird (Verhandlungen zwischen Rat, KOM und EU-Parlament), um eine abschließende Fassung zu finden.

Es ist gar nicht so unwahrscheinlich, dass der CRA dann noch bis Ende des Jahres in Kraft tritt, wobei die Verpflichtungen erst in 3 Jahren von den Herstellern umgesetzt werden müssen.

Auf dieser Seite gibt es die Infos zusammengefasst und auch ein Download-Link zur aktuellen Fassung des Entwurfs:

https://www.consilium.europa.eu/de/p...ital-products/

Leider hat die dort Downloadbare PDF-Datei nur ein rudimentäres Verzeichnis an Lesezeichen (6 Stück). Ich habe der Datei daher ein ausführliches beigefügt (natürlich nicht per Hand, sondern automatisiert), liegt auch diesem Post gezippt anbei. So kann man viel besser navigieren. Die wesentlichen Anforderungen an uns Softwarehersteller finden sich in Anhang 1 und Anhang 2 des Entwurfs.
Miniaturansicht angehängter Grafiken
ppme5-components.jpg  
Angehängte Dateien
Dateityp: zip CRA-Rat-AllgAusrichtung.zip (961,3 KB, 5x aufgerufen)

Geändert von Harry Stahl (10. Aug 2023 um 16:22 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Harry Stahl
Harry Stahl

Registriert seit: 2. Apr 2004
Ort: Bonn
2.530 Beiträge
 
Delphi 11 Alexandria
 
#5

AW: Software Bill of Materials, kurz SBOM - wer hat das?

  Alt 10. Aug 2023, 16:43
NACHTRAG:
- Was macht man eigentlich mit alter Software/Maschinen, wenn der Cyber Resilence Act aktiv wird? Grade im Bereich von Produktionsmaschinen gibt es machmal alte Systeme, die nicht mehr seitens Hersteller gepflegt werden? Die mal einfach so austauschen kann grade bei Produktionsmaschinen sehr teuer werden.
- Microsoft Access mit ActiveX Komponenten kann auch ein Problem werden. Woher die Komponentenliste bekommen und die darin verwendeten Komponenten?
- Auch ist nicht aufgeführt, was Firmen mit alten Verwaltungsprogrammen wie z.B. Warenwirtschaft machen, die zwar noch ausreicht, aber mal individuell erstellt wurde oder wo der Hersteller das Produkt aufgegeben hat. Grade bei Firmen, die kaum Budget für aktuelle Software haben und Buchhaltung/Lohnabrechnung beim Steuerberater haben, kann das ein Problem werden.

Scheint so, dass da irgendwie noch einige Betrachtungspunkte in den Vorgaben für SBOM/Cyber Resilence fehlen. . .
Der CRA betrifft nur Hersteller (bzw. auch Vertreiber) der Produkte mit digitalen Elementen. Für die Anwender formuliert der CRA keine Verpflichtungen, nur Rechte. Vom Grundsatz her kannst Du also Deine alten Systeme weiterverwenden. Im CRA ist dafür sogar eine Ausnahme für die Hersteller gemacht, die dürfen weiterhin Ersatzteile gleicher Bauart für alte Produkte in den Verkehr bringen, auch wenn diese alten Produkte nicht die aktuellen Anforderungen zur Cybersicherheit erfüllen.

Ob man nun tatsächlich die alten Geräte / Software weiterverwenden kann oder sollte, hängt für Unternehmen z.B. auch davon ab, ob sie ggfflls. dem Anwendungsbereich NIS2-Richtlinie (bzw. aktuell noch BSI-Gesetz und Kritis-VO) unterfallen und somit verpflichtet wären, ihren IT-Betrieb nach dem Stand der Technik zu betreiben.

Im Falle von eigenen oder bei Dritten verursachten Cyberschäden steht man natürlich auch nicht so gut da, wenn man alte Hardware und Software einsetzt und somit evtl. allgemeine Sorgfaltsverpflichtungen verletzt hat...
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:11 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz