Software Bill of Materials, kurz SBOM - wer hat das?
 

Es gibt im Bereich der IT Sicherheit ein kleines Nischenprodukt, von dem unsereins sicherlich kaum etwas gehört haben dürfte: den SBOM. Das ist kurz gesagt eine Stückliste, wie es sie für andere Produkte schon lange gibt. Nur eben bezogen auf Software, das interessante daran ist, daß sie dem Anwender zur Verfügung gestellt wird, weil er so abschätzen können soll, wie sicher seine Umgebung sein muß, um das Produkt zu benutzen (auch wieder kurz gesagt). Jetzt bieten wir alle wohl nur in Ausnahmefällen Steuerungen für Kernkraftwerke an, und denken, das betrifft uns nicht. Da kommt dann das hier ins Spiel:
https://www.heise.de/news/Zutatenlis...f-9235853.html
Noch ist es etwas weich formuliert:
Aber es folgt wohl sehr bald eine Pflicht dazu, dank EU und dem Cyber Resilience Act. Jetzt kommen wir ins Spiel. Delphi Entwickler die unter Umständen nur die Bordmittel zur Entwicklung verwenden und nun einen SBOM erstellen sollen, der eben keine schnöde Liste ist, sondern einer wohldefinierten Struktur genügen muß. Was kommt da rein? Embarcadero Delphi 11.3? Das kann nicht ausreichen, Emba selbst hat sicherlich noch eine Liste an Komponenten dazugekauft, die aufgelistet werden müßten. Einen SBOM findet man aber nicht, dank auch der unglückseligen Abkürzung, die fast immer nur zu "Byte order Mark" führt, selten zu "Bill of Materials". Vor allem im Delphi-Kontext. In der englischen DP gabs bereits eine ähnlich Frage, mit wenig Resonanz: https://en.delphipraxis.net/topic/93...ol-for-delphi/

TL;DR: Wer hat schon einen SBOM erzeugt? Und wie?

Sherlock

AW: Software Bill of Materials, kurz SBOM - wer hat das?
 

Machen wir schon länger, aber in einer für uns angepassten Version, damit wir selbst wissen, was wir alles in den Projekten verwenden.

Zentrale Excel Liste in dem die Projekte mit den verwendeten extern bezogenen Bibliothekten und den Installationsanpassungen von Delphi. D.h. die Installationen von Getit.

Werden wir wohl in eine Datenbank zusammenfassen, damit man die so exportieren kann, wie das BSI das will.

In der EU Vorgabe und den US Vorgaben habe ich jetzt nichts gelesen, dass ein bestimmtes elektronische Format vorgegeben wird. Nur dass man CVEs mit den Bibliotheken zu prüfen hat. Hab ich da was überlesen.

Was Embarcadero so einsetzt wird wohl Embarcadero auflisten können/müssen, wenn Europa in absehbarer Zeit nicht als Kundenregion wegfallen soll.


Bei Lazarus und Pilotlogic düfte die Menge an verwendeten Freewarekomponenten problematisch sein. Wie will man hier alles auflisten. Kann man freie Compiler in Zukunft noch für kommerzielle Projekte nutzen? Anderes Problem: Was macht man mit eingesetzter Freeware im Unternehmen? Ohne Werbung zu machen fallen mir vier Produkte ein, die ein Risiko sein könnten (PDF24, Hmailserver, Multicommander, VNC).

Letztendlich wird es für Freewarecompiler und die freie Komponenten aufwendiger werden, die Regularien einzuhalten. Mal sehen, was alles in nächster Zeit vom Markt verschwinden wird.

NACHTRAG:
- Was macht man eigentlich mit alter Software/Maschinen, wenn der Cyber Resilence Act aktiv wird? Grade im Bereich von Produktionsmaschinen gibt es machmal alte Systeme, die nicht mehr seitens Hersteller gepflegt werden? Die mal einfach so austauschen kann grade bei Produktionsmaschinen sehr teuer werden.
- Microsoft Access mit ActiveX Komponenten kann auch ein Problem werden. Woher die Komponentenliste bekommen und die darin verwendeten Komponenten?
- Auch ist nicht aufgeführt, was Firmen mit alten Verwaltungsprogrammen wie z.B. Warenwirtschaft machen, die zwar noch ausreicht, aber mal individuell erstellt wurde oder wo der Hersteller das Produkt aufgegeben hat. Grade bei Firmen, die kaum Budget für aktuelle Software haben und Buchhaltung/Lohnabrechnung beim Steuerberater haben, kann das ein Problem werden.

Scheint so, dass da irgendwie noch einige Betrachtungspunkte in den Vorgaben für SBOM/Cyber Resilence fehlen. . .

AW: Software Bill of Materials, kurz SBOM - wer hat das?
 

gerade im Bereich OpenSource verbreitet. Damit kann man schneller feststellen, ob man von einer Sicherheitslücke wie log4j betroffen ist. Zudem kommen da auch die Lizenzen rein, damit man Inkompatibilitäten vermeidet.
Allerdings gibt es derzeit noch kein standardisirtes Format. Zu den gängigen SBOM-Formaten gehören:

• Software Package Data Exchange (SPDX)
• Software Identification (SWID) Tagging und
• OWASP CycloneDX

Ein guter Artikel auch hier: https://www.csoonline.com/de/a/die-8...-tools,3674056

AW: Software Bill of Materials, kurz SBOM - wer hat das?
 

Ich verwalte schon seit einigen Jahren die benutzten Software-Komponenten, erfasse dabei Name, Version, Hersteller, Kaufdatum, Lizenzdauer, Lizenzdaten, usw. Zunächst habe ich das in einer einfachen Datenbank gemacht, seit PPME Version 5 mache ich es dort.

Unter "Komponenten" werden alle überhaupt vorhandenen Komponenten erfasst. Zu jedem Projekt kann man dann die dort benutzten Komponenten erfassen (siehe anliegenden Screenshot) und dann z.B. die verwendete Komponentenliste des Projekts im Rahmen des Projekt-Ausdrucks (auch oder nur) drucken lassen.

Aktuell sieht der Entwurf des EU-Rates noch kein bestimmtes Format für die SBOM vor, die Kommission wird aber ermächtigt per sogenannten Implementing Act hierfür ein konkretes Format vorzugeben. Solange das nicht geschehen ist, steht es Dir relativ frei in welcher Form und in welchem Format (Text-Datei, PDF, usw.) Du die Infos zur Verfügung stellst.

Inzwischen gibt es eine sog. Rats-Fassung der "Allgemeinen Ausrichtung", mit der dann voraussichtlich im September das TRILOG-Verfahren starten wird (Verhandlungen zwischen Rat, KOM und EU-Parlament), um eine abschließende Fassung zu finden.

Es ist gar nicht so unwahrscheinlich, dass der CRA dann noch bis Ende des Jahres in Kraft tritt, wobei die Verpflichtungen erst in 3 Jahren von den Herstellern umgesetzt werden müssen.

Auf dieser Seite gibt es die Infos zusammengefasst und auch ein Download-Link zur aktuellen Fassung des Entwurfs:

https://www.consilium.europa.eu/de/p...ital-products/

Leider hat die dort Downloadbare PDF-Datei nur ein rudimentäres Verzeichnis an Lesezeichen (6 Stück). Ich habe der Datei daher ein ausführliches beigefügt (natürlich nicht per Hand, sondern automatisiert), liegt auch diesem Post gezippt anbei. So kann man viel besser navigieren. Die wesentlichen Anforderungen an uns Softwarehersteller finden sich in Anhang 1 und Anhang 2 des Entwurfs.

AW: Software Bill of Materials, kurz SBOM - wer hat das?
 

Der CRA betrifft nur Hersteller (bzw. auch Vertreiber) der Produkte mit digitalen Elementen. Für die Anwender formuliert der CRA keine Verpflichtungen, nur Rechte. Vom Grundsatz her kannst Du also Deine alten Systeme weiterverwenden. Im CRA ist dafür sogar eine Ausnahme für die Hersteller gemacht, die dürfen weiterhin Ersatzteile gleicher Bauart für alte Produkte in den Verkehr bringen, auch wenn diese alten Produkte nicht die aktuellen Anforderungen zur Cybersicherheit erfüllen.

Ob man nun tatsächlich die alten Geräte / Software weiterverwenden kann oder sollte, hängt für Unternehmen z.B. auch davon ab, ob sie ggfflls. dem Anwendungsbereich NIS2-Richtlinie (bzw. aktuell noch BSI-Gesetz und Kritis-VO) unterfallen und somit verpflichtet wären, ihren IT-Betrieb nach dem Stand der Technik zu betreiben.

Im Falle von eigenen oder bei Dritten verursachten Cyberschäden steht man natürlich auch nicht so gut da, wenn man alte Hardware und Software einsetzt und somit evtl. allgemeine Sorgfaltsverpflichtungen verletzt hat...