Um ein gemeinsames Verständnis von Software Bill of Materials (SBOM) und ihrer sinnvollen Nutzung zu entwickeln, Mindestelemente und ihren Umfang zu beschreiben sowie Optionen für die künftige Weiterentwicklung aufzuzeigen, hat der ZVEI ein neues Whitepaper veröffentlicht.
SBOM ist eine Art Software-Stückliste
Cybersicherheitsanforderungen werden immer stärker in den regulatorischen Fokus genommen. Das Interesse an Instrumenten, die ermöglichen die Qualität und die Prozesse in der (Software-) Lieferkette zu verbessern nimmt daher u. a. aus diesen Gründen immer weiter zu. Software Bill of Materials (SBOM) werden dabei als ein solches Instrument gesehen. Eine SBOM enthält als eine Art Software-Stückliste Informationen über verwendete Software-Komponenten und kann als ein wichtiger Baustein des Software-Supply-Managements verstanden werden. Mit ihr kann Transparenz über eingesetzte Softwarekomponenten erlangt werden und darauf aufbauend die Cybersicherheit entlang der Lieferkette verbessert werden.
Gemeinsames Verständnis von SBOM ist das Ziel
Das Ziel dieses Papiers ist ein gemeinsames Verständnis von SBOM und ihrer sinnvollen Nutzung zu entwickeln, Mindestelemente und ihren Umfang zu beschreiben sowie Optionen für die künftige Weiterentwicklung aufzuzeigen. Die Einführung einer weiteren aufwendigen Anforderung zur Informationsbereitstellung ohne Mehrwert für die umsetzenden Unternehmen sollte jedoch auf jeden Fall vermieden werden. Dieses Dokument soll auch den herstellerinternen Nutzen einer SBOM aufzeigen und die Vor- und Nachteile für einen externen Konsumenten einer SBOM aufzeigen.
Bevor über die weitere Verwendung und Umsetzung von SBOM nachgedacht wird, sollte seitens industrieller Akteure wie auch seitens des Regulierers ein einheitliches Verständnis der SBOM entwickelt werden. Dieses Papier möchte zu diesem Verständnis einen Beitrag aus Sicht der Elektro- und Digitalindustrie leisten.
