From aa775485656f2272b7518eb013754e3072bd1668 Mon Sep 17 00:00:00 2001 From: Hanno 'Rince' Wagner Date: Wed, 29 Jan 2025 18:42:46 +0100 Subject: [PATCH] =?UTF-8?q?SBOM=20erkl=C3=A4rt?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- content/events/202505-SBOM-in-Firmen/index.md | 16 ++++++++++++++++ 1 file changed, 16 insertions(+) diff --git a/content/events/202505-SBOM-in-Firmen/index.md b/content/events/202505-SBOM-in-Firmen/index.md index cf9bbff6..9323ddd6 100644 --- a/content/events/202505-SBOM-in-Firmen/index.md +++ b/content/events/202505-SBOM-in-Firmen/index.md @@ -12,6 +12,22 @@ location: location: bib public: true --- +In Firmen ist SBOM das neue Schreckenswort, das Entwicklern allerdings +seit Ewigkeiten bekannt ist, wenn auch nicht unter dieser Beschreibung. +Der "Software Bill of Material" beschreibt die Abhängigkeit einer Anwendung +von Bibliotheken oder anderen Programmen und deren Abhängigkeiten von Bibliotheken +oder Anwendungen. Das Ziel dabei ist als Betreiber einer Anwendung zu wissen, welche +Schwachstellen die Anwendung haben kann. Um dieses einschätzen zu können muss man aber +die Abhängigkeiten einer Software kennen - und heutige Software hat oft Dutzende, wenn +nicht hunderte von Abhängigkeiten. Das beginnt bei den eingebundenen Libraries zur Text- +oder Grafikausgabe, geht über Bibliotheken für mathematische Operationen bis hin +zu Software zum Erstellen von PDF-Dateien. + +Firmen ist diese Abhängigkeit Im Dezember 2021 sehr klar geworden, als eine Lücke +in einer zentralen Log-Bibliothek gefunden wurde ("log4j") und viele Hersteller +dann prüfen mussten ob sie von dieser Schwachstelle betroffen sind. Und viele Firmen +mussten auch intern klären ob sie von dieser Schwachstelle betroffen sein könnten. + Eine Softwarestückliste listet alle Komponenten und Abhängigkeiten einer Softwareanwendung vollständig auf. Sie fördert die Transparenz und Nachvollziehbarkeit in der Softwareentwicklung,