marco/cccs-website
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Abstract der Autoren

Browse source
This commit is contained in:
Hanno 'Rince' Wagner 2025-04-02 16:37:47 +02:00
parent b1b4ba311b
commit d97a3fd067
1 changed files with 17 additions and 21 deletions
Download patch file Download diff file Expand all files Collapse all files

38
content/events/202505-SBOM-in-Firmen/index.md
View file

@ -2,7 +2,7 @@
kind: event kind: event
startdate: 2025-05-08T19:30:00Z startdate: 2025-05-08T19:30:00Z
duration: 2h duration: 2h
title: "SBOM in Firmen - warum man über seine Abhängigkeiten bescheid wissen sollte" title: "Software-Stücklisten in der Praxis: Transparenz und Effizienz auf Knopfdruck"
speakers: speakers:
- -
name: "David Schumm" name: "David Schumm"
@ -12,25 +12,21 @@ location:
location: bib location: bib
public: true public: true
--- ---
In Firmen ist SBOM das neue Schreckenswort, das Entwicklern allerdings Eine Software-Stückliste (Software Bill of Materials - SBOM) listet alle
seit Ewigkeiten bekannt ist, wenn auch nicht unter dieser Beschreibung. Komponenten und Abhängigkeiten einer Software-Anwendung vollständig auf.
Der "Software Bill of Material" beschreibt die Abhängigkeit einer Anwendung Sie fördert die Transparenz und Nachvollziehbarkeit in der Software-Entwicklung,
von Bibliotheken oder anderen Programmen und deren Abhängigkeiten von Bibliotheken indem sie Herkunft und Versionen von Software-Komponenten aufzeigt. Diese vollständige
oder Anwendungen. Das Ziel dabei ist als Betreiber einer Anwendung zu wissen, welche Auflistung aller Komponenten ermöglicht eine Übersicht der FOSS-Komponenten (Free
Schwachstellen die Anwendung haben kann. Um dieses einschätzen zu können muss man aber and Open Source Software) und erleichtert dadurch unter anderem die Einhaltung der
die Abhängigkeiten einer Software kennen - und heutige Software hat oft Dutzende, wenn Bedingungen der verwendeten FOSS-Lizenzen.
nicht hunderte von Abhängigkeiten. Das beginnt bei den eingebundenen Libraries zur Text-
oder Grafikausgabe, geht über Bibliotheken für mathematische Operationen bis hin
zu Software zum Erstellen von PDF-Dateien.
Firmen ist diese Abhängigkeit Im Dezember 2021 sehr klar geworden, als eine Lücke Für uns als Hersteller war es in der Praxis mit großem Aufwand verbunden, über die
in einer zentralen Log-Bibliothek gefunden wurde ("log4j") und viele Hersteller Vielzahl an gelieferten Software-Stücklisten immer den Überblick zu behalten. Daher
dann prüfen mussten ob sie von dieser Schwachstelle betroffen sind. Und viele Firmen haben wir das FOSS Disclosure Portal entwickelt.
mussten auch intern klären ob sie von dieser Schwachstelle betroffen sein könnten.
Eine Softwarestückliste listet alle Komponenten und Abhängigkeiten Mit dem Portal können unsere internen und externen Software-Lieferanten uns
einer Softwareanwendung vollständig auf. Sie fördert die Informationen über die verwendeten FOSS-Komponenten über eine technische
Transparenz und Nachvollziehbarkeit in der Softwareentwicklung, Schnittstelle (API) in einem standardisierten Format, als Software Bill of
indem sie Herkunft und Versionen von Softwarekomponenten aufzeigt. Materials (SBOM/SPDX), zur Verfügung stellen. Das System unterstützt die
Diese vollständige Auflistung aller FOSS-Komponenten Projektverantwortlichen durch automatisierte Prüfungen auf Einhaltung von Vorschriften und
ermöglicht die Einhaltung der Bedingungen aller verbauten FOSS-Lizenzen. Qualität. Dadurch wird die Überprüfung der Lizenzkonformität einfacher und schneller.