Neue Lösung zum Erstellen einer SBOM (Software Bill of Materials)

Die Lösungen für die SCA (Software Composition Analysis) von Revenera werden weiter ausgebaut. Neu ist das SaaS-Produkt “SBOM Insights“, das Software-Anbieter und Entwickler dabei unterstützen soll, die SBOM, also die Software-Bill-of-Materials, automatisch zu erstellen. Die Lösung führt Daten aus verschiedenen Quellen zusammen und fügt die Informationen über Herkunft, Lizenzierung und Version in eine Stückliste ein. Dabei deckt das Produkt die Software Supply Chain vollständig ab, inklusive Drittanbietern und Upstream-Partnern.

Screenshot: Revenera

Die Auflistung der eingesetzten Code-Komponenten beschränkt sich folglich nicht auf intern erstellte SBOMs. Zu den bereits genannten Informationen kommen auch noch Daten aus SCA-Scans, Open Source Software-Libraries und anderen Data Services. Alle Daten werden unabhängig ihrer Formate (zum Beispiel SPDX, CycloneDX) importiert, abgeglichen und normalisiert. Der hohe Automatisierungsgrad von SBOM Insights sorgt dabei für eine lückenlose Dokumentation und reduziert die Fehleranfälligkeit der Software-Bill-of-Materials.

Revenera SBOM Insights hilft Softwareanbietern, ein Active Repository ihres Produktportfolios zu erstellen und potentielle Sicherheits- und Compliance-Risiken proaktiv zu verwalten. Entwickler, Sicherheitsexperten, Compliance-Beauftragte und Open Source Programm Officer (OSPO) können auf Knopfdruck Compliance-Artefakte erstellen, die Nutzung von Komponenten im Entwicklungsprozess nachverfolgen und Impact-Analysen für bekanntgewordene Schwachstellen durchführen. Partner entlang der Software Supply Chain profitieren von höherer Transparenz und Sicherheit sowie einem einfachen und automatisierten Prozess bei der Weitergabe von Code-Informationen.

Die Features von Revenera SBOM Insights im Überblick: 

  • Import, Abgleich und Normalisierung von SBOM-Daten aus unterschiedliche Quellen und unabhängig von Formaten
  • Automatisches Erstellen von standardisierten und lückenlosen Software-BOMs in der Cloud
  • Monitoring und Analyse von Komponenten einschließlich Herkunft (Drittanbieter, Open Source Software OSS), Lizenzierung und Schwachstellen (Impact-Analyse)
  • Alerts für schnelle und zuverlässige Aufdeckung von Compliance- und Sicherheitsrisiken
  • Detaillierte Dokumentation für eine einfache und sichere Nutzung von OSS-Komponenten im Entwicklungsprozess
  • Hohe Transparenz entlang der Software Supply Chain sowie gegenüber Kunden durch automatisiertes Erstellen von Compliance-Artefakten

Die SBOM rückt immer stärker in den Mittelpunkt von Compliance-Programmen. So wird sich die Stückliste laut einem aktuellen Report von Gartner bis 2025 in voraussichtlich 60 Prozent der Unternehmen, die Software für kritische Infrastrukturen (KRITIS) entwickeln oder nutzen, zum vorgeschriebenen Standard entwickeln. Stand heute gilt die Software-BOM bereits in 20 Prozent der Unternehmen zur Grundvoraussetzung. Wer die US-Regierung zu seinen Kunden zählen will, muss seit Mai 2021 eine Software-BOM für jedes Produkt bereitstellen. Die EU hat mit der Open-Source-Software-Strategie 2020-2023 ähnliche Anforderungen für Softwareanbieter vorgelegt. Und auch einflussreiche Branchenverbände und Behörden wie die FDA (The Food and Drug Administration) in den USA sowie die GENIVI Alliance und die Automotive Grade Linux (AGL) machen sich für die SBOM stark.

„Mit SBOM Insights unterstützt Revenera Softwareanbieter, diesen wachsenden Anforderungen nachzukommen und alle relevanten Daten schnell und einfach zu einer Software-BOM zusammenzuführen und effizient zu verwalten“, erklärt Nicole Segerer, SVP and General Manager of Revenera. „Der damit gewonnene Einblick in den eigenen Anwendungscode ist elementar, um Sicherheits- und Compliance-Risiken identifizieren und beheben zu können. Wenn beispielsweise die nächste Schwachstelle in einer Open-Source-Komponente publik wird, wie seinerzeit Log4Shell, haben Anbieter mit SBOM Insights alle wichtigen Informationen parat, um ruhig, souverän und zielgenau Maßnahmen zu treffen – egal ob der angreifbare Code intern entwickelt wurde oder aus externer Hand stammt.”

Weitere Informationen: www.revenera.de