SBOM-Erstellung automatisieren
Wie man schnell eine präzise Software-Stückliste (SBOM) erstellt
Die Zunahme von Angriffen auf Software-Lieferketten hat die US-Regierung und Unternehmen dazu veranlasst, SBOMs als Standardverfahren zu fordern.
Wozu brauchen Sie ein SBOM?
Laut Gartner nutzen über 70 % der Anwendungen Open-Source-Softwarekomponenten (OSS), um die Entwicklung zu beschleunigen, was die Sicherheit und rechtliche Risiken erhöht. Unternehmen jeder Größe benötigenab sofort eine SBOM für jede Softwarelieferung, wie in der Cybersecurity Executive Order der US-Regierung beschrieben. Jeder, der Software liefert, muss jetzt schnell und präzise eine SBOM erstellen.
Was ist in einem SBOM enthalten?
- Inventar aller Open-Source-Komponenten
- Komponentendetails (Version, Freigabedatum, etc.)
- Sicherheitsschwachstellen (CVEs) und Kritikfähigkeit
- Lizenzen und Risikostufen
- Mögliche Lizenzierungskonflikte
- Transitive Abhängigkeiten
- Software-Schwachstellen (CWEs)
- Empfehlungen für sicherere Komponentenversionen
Hier ein SBOM-Beispiel
Wie automatisiert man die SBOM-Erstellung?
CAST Highlight, ein Software-Intelligence-Produkt, lässt sich direkt in Quellcode-Repositories einbinden und analysiert Anwendungen innerhalb von Minuten, ohne dabei die Entwickler zu stören. Es führt eine Software Composition Analysis (SCA) eines Anwendungsportfolios durch und erstellt automatisch ein vollständiges Inventar der in der Codebasis verwendeten Drittanbieter- und Open Source-Komponenten, einschließlich der Lizenzversionen. Es zeigt Lizenzierungsrisiken und Sicherheitsschwachstellen auf und gibt Empfehlungen zu den wichtigsten erforderlichen Abhilfemaßnahmen. Die SBOMs können in Excel, Word, PPT und CycloneDX angezeigt und exportiert werden.
Was ist, wenn Sie eine bereits vorhandene SBOM-Datei lesen möchten?
Unternehmen müssen oft eine bestehende SBOM-Datei aus einer externen Quelle, z. B. von einem Softwarehersteller, einlesen. CAST Highlight liest auch automatisch eine importierte SBOM im CycloneDX-Format und generiert alle dieselben SCA-Insights, selbst wenn die Anwendung nicht direkt von CAST Highlight analysiert wird.
Lernen von Broadridge bewährte Verfahren zur Automatisierung von SBOMs
Die Erfahrungen unserer Kunden
Mit CAST Highlight konnten wir die OSS-Risiken für alle unsere Anwendungen innerhalb von Minuten bewerten, anstatt Hunderte von Stunden zu benötigen.
Marilyn Hartnett
VP, Open Source Governance
Wir haben Alternativen ausprobiert. Wir empfehlen CAST Highlight aufgrund seiner Schnelligkeit und der geringeren Kosten.
Keith MacKay
Managing Director
