Warum Ihre SBOM verrottet

Eine SBOM ist ein Snapshot. Sie bildet den Zustand Ihrer Software-Lieferkette zu einem bestimmten Zeitpunkt ab. Doch die Realität ändert sich täglich - und Ihre SBOM altert mit jeder Stunde, die vergeht.

Was passiert nach der Erstellung?

Am Tag der Erstellung ist eine SBOM akkurat. Danach beginnt der Verfall:

• Neue Schwachstellen werden in vorhandenen Komponenten entdeckt - täglich kommen neue CVEs hinzu, dazu Silent Fixes, die in keiner Datenbank auftauchen
• Abhängigkeiten ändern sich. Entwickler aktualisieren Bibliotheken, fügen neue hinzu oder ersetzen bestehende. Die SBOM weiß davon nichts.
• Projekte verwaisen. Ein Maintainer hört auf, ein Projekt wird archiviert, die letzte Aktivität liegt Monate zurück. Ihre SBOM zeigt die Komponente noch als "vorhanden" -aber nicht als "ungepflegt".
• Lizenzen ändern sich. Ein Projekt wechselt von einer permissiven zu einer restriktiven Lizenz. Ihre SBOM enthält die alte Lizenzinformation.
• Maintainer wechseln. Ein neuer Maintainer übernimmt ein Projekt -mit unbekannter Vertrauenswürdigkeit. Supply-Chain-Angriffe beginnen oft genau hier.

Warum ist das ein Problem?

Die EU-Gesetzgebung verlangt keine einmalige Inventarisierung. Sie verlangt einen kontinuierlichen Prozess:

• DORA Art. 8 Abs. 6: Regelmäßige Aktualisierung des Inventars "bei jeder wesentlichen Änderung"
• DORA Art. 8 Abs. 7: Bewertung von IKT-Altsystemen mindestens jährlich, vor und nach Anschluss neuer Systeme
• NIS2 Art. 21 Abs. 2 lit. d: Sicherheit der Lieferkette -erfordert aktuelle Kenntnis aller Komponenten
• CRA Anhang I Teil II Nr. 1: Laufende Ermittlung von Schwachstellen und Komponenten
• ISO 18974 (4.3.1): SBOM-Erstellung und -Pflege als kontinuierlicher, lebenszyklusübergreifender Prozess
• ISO 18974 (4.1.5 Nr. 5): Post-Release-Monitoring für neue Schwachstellen in bestehenden Komponenten

Ein Auditor wird nicht fragen, ob Sie eine SBOM haben. Er wird fragen, wann sie zuletzt aktualisiert wurde und welche Änderungen seitdem eingetreten sind. Wenn Ihre Antwort "vor sechs Monaten" lautet, haben Sie ein Problem.

Wie schnell veraltet eine SBOM?

Bei einem typischen Unternehmensprodukt mit 800 Open-Source-Abhängigkeiten passiert innerhalb weniger Wochen Folgendes:

• Dutzende Komponenten erhalten Updates
• Mehrere neue Schwachstellen werden in vorhandenen Versionen bekannt
• Mindestens ein Projekt ändert seinen Pflegestatus
• Transitive Abhängigkeiten verschieben sich, ohne dass Sie es bemerken

Nach wenigen Wochen beschreibt Ihre SBOM nicht mehr die Realität. Nach Monaten ist sie ein historisches Dokument.

Was bedeutet das für Sie?

Eine SBOM ist der notwendige Anfang, aber sie verrottet ohne kontinuierliche Pflege. Die Gesetze verlangen keine Bestandsaufnahme, sondern ein lebendiges Inventar. Wenn Ihre SBOM nicht regelmäßig aktualisiert, gegen aktuelle Bedrohungen abgeglichen und mit Risikobewertungen versehen wird, erfüllt sie die regulatorischen Anforderungen nicht - und sie schützt Sie auch nicht.

Weiterlesen

• Was ist eine SBOM und warum reicht sie nicht?
• Silent Fixes - Die unsichtbare Gefahr
• Falsche Sicherheit durch reine Tooling-Ansätze

Sie möchten Ihre SBOM dauerhaft aktuell halten? OTTRIA übernimmt die kontinuierliche Pflege und Überwachung. Vereinbaren Sie ein Erstgespräch.