US Executive Order 14028 für Open Source Verwendung

Ihr Experte für Fragen

Marcel Scholze
Director Open Source Software Services & IT Sourcing bei PwC Deutschland
Tel: +49 151 16157049
E-Mail

Warum wird das Thema fast jeden betreffen?

Der etablierte OpenChain Industriestandard der Linux Foundation zu Open Source Software Compliance wurde Ende 2020 auf Grund der hohen globalen Relevanz und Kritikalität als offizielle ISO-Norm, die ISO 5230 veröffentlicht – auch hierin ist die Software Bill of Materials ein wesentliches Element. 2021 wurde mit der ISO 5962 ein weit verbreitetes und verwandtes SBOM-Format international standardisiert.

Wenig später forderte die Executive Order 14028 der US-amerikanischen Regierung die Lieferung von SBOMs an US-Behörden. Bislang haben viele Organisationen aus Gründen der Komplexität und notwendigen Anpassungen immer gezögert, die Lieferung von SBOMs von ihren Zulieferern zu verlangen. Die Executive Order 14028 führt nun die Idee ein, dass SBOMs standardmäßig gefordert werden können – und dies, obwohl viele Unternehmen große Anstrengungen unternehmen müssen, um eine ausreichende Reife und Qualität der SBOM zu erreichen.

Der Review und die Auslieferung von SBOMs ist in manchen Branchen längst gängige Praxis. Die Prüfung von Bill of Materials auf Compliance für Lizenzen und Sicherheit der verbauten Komponenten waren bereits vor dem aktuellen Fokus durch die Executive Order Empfehlung von PwC für Beschaffungsprozesse von Produkten und Services, die Software beinhalten. Mit steigender Digitalisierung, Komplexität und Nutzung von Open-Source-Software ist unseres Erachtens nach zu erwarten, dass andere Regierungen und Industrien diese Anforderungen ebenfalls übernehmen werden.

Woher kommt die Aufmerksamkeit für das Thema?

Das Thema der Software-Supply-Chain-Sicherheit und deren Schwachstellen kommt nicht von ungefähr: Der Anstieg von Cyberangriffen auf die Software-Supply-Chain in der jüngsten Vergangenheit und die mediale Präsenz haben die Aufmerksamkeit auf diese Problematik gelenkt. 

Aktuelle Beispiele zeigen eindrücklich: Bereits ein kleines schadhaftes Element oder Exploit einer Software-Komponente an jeglichem Punkt in der Supply Chain kann Sicherheitsmängel globaler Tragweite auslösen. Nach solchen Vorfällen leidet das Vertrauen in Softwareprodukte und kann nachgelagerte Benutzer der Software verunsichern.

Was ist eine SBOM und welche Vorteile bringt sie mit sich?

Eine SBOM stellt Informationen, wie z. B. verwendete Komponenten, Lizenzen und Urheber zur Verfügung und gibt damit detaillierte Einblicke in die Software-Supply-Chain. Das sorgt für Transparenz und ermöglicht es, potenzielle Sicherheitslücken sowie rechtliche Risiken zu erkennen.

Benutzer der Software können die SBOM einsetzen, um sich einen effizienten Einblick in die Software-Supply-Chain zu verschaffen und dadurch Wissen in Bezug auf potenzielle Risiken anzueignen, die mit der Nutzung verbunden sind. Die Open Source Welt ist sehr dynamisch. Daher ist es notwendig, die beschaffte Software regelmäßig zu bewerten, denn neue Sicherheitslücken und Exploits können ständig entdeckt werden. Liegt nun eine SBOM vor, so ist diese Überprüfung für die Nutzenden zu großen Teilen automatisierbar und ermöglicht damit eine schnellere Identifikation neuer Gefahren mit zeitnaher Reaktion. Unter anderem deswegen hat die National Telecommunications and Information Administration (NTIA) eine Sammlung notwendiger Mindestanforderungen für den Inhalt einer SBOM herausgegeben. 

Zu den Mindestanforderungen zählen beispielsweise der Name des Zulieferers, der Name und die Versionsnummer der genutzten Komponente sowie die Beziehung zu anderen Komponenten. Zusätzlich empfiehlt die NTIA, die SBOM für jede Neuveröffentlichung zu aktualisieren. Eine solche Anforderung kann nicht-automatisierten Lösungen schnell zu Kapazitätsengpässen führen. 

Die NTIA betont jedoch, dass sich diese Anforderungen in Zukunft ändern können, da durch sich verändernde Umstände Anpassungen notwendig werden. So wird empfohlen, bereits jetzt für langfristige Projekte oder bei besonders sicherheitssensiblen Kontaktpunkten Lizenzinformationen und detailliertere Darstellungen der Beziehungen zu anderen Software-Komponenten zu inkludieren. 

Aktuell bieten häufig weder kommerzielle Produkte noch Open Source Software Lösungen standardmäßig eine SBOM, die den Mindestanforderungen der NTIA genügt. Um eine gültige SBOM für kommerzielle Produkte oder für Open-Source-Komponenten zu erhalten, muss üblicherweise explizit nachgefragt werden.

Dazu kommt: Open Source Produkte benötigen manchmal externe Dienstleister, um Compliance-Ansprüchen zu genügen, da deren Community Arbeiten dieser Art nicht immer übernimmt. Ohne einen etablierten Prozess kann die SBOM-Compliance schnell zu einem Problem werden, da Ad-hoc-Lösungen entweder nicht verfügbar oder mit hohen Kosten verbunden sind.

Wie die PwC-Experten Sie unterstützen können

Um Ihr Unternehmen zukunftssicher auszurichten, sollten Sie jetzt aktiv werden und dafür sorgen, dass Sie den aktuellen Regulierungen für die Software-Supply-Chain entsprechen. Eine, allen Mindestanforderungen genügende, SBOM stellt hierbei ein solides Fundament für Compliance-Anforderungen, rechtliche Fragestellungen zu Lizenzen und Schwachstellen-Analyse und somit Sicherheit dar.

Wenn Sie Software Bill of Materials noch nicht vollständig und richtig für Ihre Produkte und Services erstellen, können professionelle PwC Managed Services dabei helfen, die notwendigen Anforderungen zu erfüllen, ohne dass intern hierfür die Systeme, Prozesse und Ressourcen aufgebaut werden müssen.