Wenn wir über die Sicherheit in Bezug auf die Software-Lieferkette und das Software-Management von Drittanbietern sprechen, ist es wichtig, dass die von Ihnen verwendeten Tools detaillierte Berichte über bekannte und unbekannte Schwachstellen in Anwendungen sowie über den Grad des Missbrauchs dieser anfälligen Komponenten liefern. Andernfalls haben Sie lediglich eine Liste der SBOM-Teile, ohne dass Sie viel damit anfangen können.
In der Regel sollten Sie Sicherheitsinformationen nicht mit einer SBOM vermischen, da diese zu instabil ist – sie ändert sich ständig. Sie möchten eine SBOM, die alle Informationen zur Zusammensetzung und Lizenzierung enthält (sie ist von Version zu Version Ihrer Anwendung statisch), und dann möchten Sie ein separates Dokument, das eine Momentaufnahme des Sicherheitsstatus ist und Querverweise zu den Teilen in der Software-Stückliste enthält. Um dies zu erreichen, gibt es zwei Ansätze, die beide in der aktuellen Version von SBOM Insights enthalten sind.
Read the full article here