Warum Ihre SBOM verrottet

Eine SBOM ist ein Snapshot. Sie bildet den Zustand Ihrer Software-Lieferkette zu einem bestimmten Zeitpunkt ab. Doch die Realität ändert sich täglich - und Ihre SBOM altert mit jeder Stunde, die vergeht.

Was passiert nach der Erstellung? #

Am Tag der Erstellung ist eine SBOM akkurat. Danach beginnt der Verfall:

• Neue Schwachstellen werden in vorhandenen Komponenten entdeckt - täglich kommen neue CVEs hinzu, dazu Silent Fixes, die in keiner Datenbank auftauchen
• Abhängigkeiten ändern sich. Entwickler aktualisieren Bibliotheken, fügen neue hinzu oder ersetzen bestehende. Die SBOM weiß davon nichts.
• Projekte verwaisen. Ein Maintainer hört auf, ein Projekt wird archiviert, die letzte Aktivität liegt Monate zurück. Ihre SBOM zeigt die Komponente noch als "vorhanden" -aber nicht als "ungepflegt".
• Lizenzen ändern sich. Ein Projekt wechselt von einer permissiven zu einer restriktiven Lizenz. Ihre SBOM enthält die alte Lizenzinformation.
• Maintainer wechseln. Ein neuer Maintainer übernimmt ein Projekt -mit unbekannter Vertrauenswürdigkeit. Supply-Chain-Angriffe beginnen oft genau hier.

Warum ist das ein Problem? #

Die EU-Gesetzgebung verlangt keine einmalige Inventarisierung. Sie verlangt einen kontinuierlichen Prozess:

• DORA Art. 8 Abs. 6: Regelmäßige Aktualisierung des Inventars "bei jeder wesentlichen Änderung"
• DORA Art. 8 Abs. 7: Bewertung von IKT-Altsystemen mindestens jährlich, vor und nach Anschluss neuer Systeme
• NIS2 Art. 21 Abs. 2 lit. d: Sicherheit der Lieferkette -erfordert aktuelle Kenntnis aller Komponenten
• CRA Anhang I Teil II Nr. 1: Laufende Ermittlung von Schwachstellen und Komponenten
• ISO 18974 (4.3.1): SBOM-Erstellung und -Pflege als kontinuierlicher, lebenszyklusübergreifender Prozess
• ISO 18974 (4.1.5 Nr. 5): Post-Release-Monitoring für neue Schwachstellen in bestehenden Komponenten

Ein Auditor wird nicht fragen, ob Sie eine SBOM haben. Er wird fragen, wann sie zuletzt aktualisiert wurde und welche Änderungen seitdem eingetreten sind. Wenn Ihre Antwort "vor sechs Monaten" lautet, haben Sie ein Problem.

Wie schnell veraltet eine SBOM? #

Bei einem Unternehmensprodukt mit hunderten Open-Source-Abhängigkeiten passiert innerhalb weniger Wochen Folgendes:

• Dutzende Komponenten erhalten Updates
• Mehrere neue Schwachstellen werden in vorhandenen Versionen bekannt
• Mindestens ein Projekt ändert seinen Pflegestatus
• Transitive Abhängigkeiten verschieben sich, ohne dass Sie es bemerken

Nach wenigen Wochen beschreibt Ihre SBOM nicht mehr die Realität. Nach Monaten ist sie ein historisches Dokument.

Das Problem beginnt nicht bei Ihnen #

Veraltete Abhängigkeiten sind kein Problem, das nur Endanwender betrifft. Die Open-Source-Projekte selbst haben dasselbe Problem - und es kaskadiert durch die gesamte Lieferkette:

• 90 % der untersuchten Codebasen enthalten Komponenten, die mehr als vier Jahre veraltet sind
• 71,6 % der Abhängigkeiten in Open-Source-Projekten sind veraltet
• 95 % aller Schwachstellen stecken in transitiven Abhängigkeiten - also in Paketen, die Entwickler nicht selbst ausgewählt haben, sondern die indirekt mitgezogen werden
• Eine kritische Schwachstelle verbleibt im Schnitt über ein Jahr in einem Open-Source-Projekt, bevor sie behoben wird

Wenn Projekt A eine veraltete Version von Projekt B nutzt, und Projekt B eine veraltete Version von Projekt C - dann kaskadiert das Risiko durch die gesamte Kette, ohne dass Sie als Endanwender auch nur eine dieser Abhängigkeiten kennen. Ihre SBOM zeigt Ihnen Projekt A. Was darunter liegt, sehen Sie nur, wenn jemand aktiv hinschaut.

Was bedeutet das für Sie? #

Eine SBOM ist der notwendige Anfang, aber sie verrottet ohne kontinuierliche Pflege. Die Gesetze verlangen keine Bestandsaufnahme, sondern ein lebendiges Inventar. Wenn Ihre SBOM nicht regelmäßig aktualisiert, gegen aktuelle Bedrohungen abgeglichen und mit Risikobewertungen versehen wird, erfüllt sie die regulatorischen Anforderungen nicht - und sie schützt Sie auch nicht.

Weiterlesen #

• Was ist eine SBOM und warum reicht sie nicht?
• Silent Fixes - Die unsichtbare Gefahr
• Falsche Sicherheit: Warum Scanner und Versprechen nicht reichen

Sie möchten Ihre SBOM dauerhaft aktuell halten? OTTRIA übernimmt die kontinuierliche Pflege und Überwachung. Vereinbaren Sie ein Erstgespräch.