OWASP CycloneDX v1.5 führt einen neuen BOM-Standard ein, der Transparenz und Compliance in der Tech-Sphäre fördert

Das renommierte Open Worldwide Application Security Project (OWASP) hat die Veröffentlichung seines neuesten Standards, OWASP CycloneDX Version 1.5, bekannt gegeben. Diese neue Innovation im Bereich Bill of Materials (BOM) adressiert speziell Transparenz- und Compliance-Probleme in der Softwarebranche.

Im Unterschied zu seinen Vorgängern erweitert CycloneDX v1.5 seine Reichweite durch die Integration von ML-Transparenz (ML-BOM), Formulierung (MBOM) und die Verbesserung der Unterstützung für SBOM-Qualitätsmarker.

Durch die Erweiterung dieser Ausgabe wird die BOM noch kompetenter und ihre Unterstützungsfunktionen für Hardware, Software und Dienstleistungen gehen über das bestehende Niveau hinaus. Der Eckpfeiler dieser Entwicklung besteht darin, Unternehmen mit einem gut ausgebauten Mechanismus zur Erkennung und Abschwächung von Risiken in der Lieferkette zu wappnen.

Die Einführung von ML-BOM stellt einen bedeutenden Fortschritt im Bereich der Stücklisten-Technologie dar und bietet Software-Entwicklern erhebliche Vorteile. CycloneDX bietet damit entscheidende Einblicke in die maschinellen Lernmodelle, die in verschiedenen Softwaresystemen eingesetzt werden. Diese erhöhte Transparenz verschafft den Beteiligten einen vollständigen Überblick über die Trainings- und Einsatztechniken, wodurch die Verantwortlichkeit sichergestellt und ethische KI-Praktiken gefördert werden.

Matt Rutkowski, der bei IBM als OWASP Maintainer und CycloneDX Contributor tätig ist, äußerte sich zu der neuen Version. Er sagte: "Die Einführung der aktuellen CycloneDX-Spezifikation stellt einen bedeutenden Maßstab für jedes Unternehmen dar, das sich der Cybersicherheit bewusst ist und danach strebt, ausgereifte Stücklisten zu entwickeln, die wesentliche Daten für die Bewertung von Sicherheitsrisiken und die Einhaltung von Vorschriften zusammenfassen." Er hob die Effektivität von SBOM vor allem in Branchen hervor, in denen Continuous Integration and Delivery (CI/CD) oder die mit Stücklisten verbundenen Entwicklungsprozesse zum Einsatz kommen, egal ob es sich um Software, Hardware oder Dienstleistungen handelt.

Um Unternehmen bei der optimalen Nutzung von SBOMs zu unterstützen, hat CycloneDX die erste Ausgabe einer Reihe von Leitfäden herausgebracht. Unter dem Titel "Authoritative Guide to SBOM, Implement and Optimize Use of Software Bill of Materials" ist der Leitfaden nun für jedermann zugänglich gemacht worden. Das ausführliche 60-seitige Manuskript behandelt sowohl grundlegende als auch komplexe Themen und verspricht eine Vielzahl von Vorteilen für alle Unternehmen.

Zeitgleich mit der Veröffentlichung von CycloneDX v1.5 hat OWASP die Entwicklung von CycloneDX v1.6 angestoßen. Die kommende Version sieht vor, die Cryptography Bill of Materials (CBOM) in den herkömmlichen Standard aufzunehmen.

Mit der Weiterentwicklung von no-code, low-code Tools wie AppMaster, könnten in der Tat weitere, unkomplizierte Methoden zur Entwicklung und Umsetzung von Cybersicherheitsgrundsätzen am Horizont auftauchen. Als Unternehmen, das Backend-, Web- und mobile Anwendungen entwickelt, ist AppMaster Teil dieses Wandels und trägt zu einer sichereren digitalen Landschaft bei.