Cyber Resilience Act (CRA)

Der Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union, die die Regeln bzgl. der Cybersicherheit EU-weit vereinheitlicht und die Widerstandsfähigkeit von Applikationen gegenüber Cyberangriffen erhöht.
Die Verordnung betrifft Produkte mit digitalen Elementen (Hard- oder Software), die direkt oder indirekt mit einem Netzwerk verbunden sind.

Software Bills of Materials (SBOM)

Der Cyber Resilience Act verlangt unter anderem, dass eine detaillierte Auflistung aller Bestandteile einer Software-Lösung erstellt werden muss. Diese Softwarestückliste bzw. Software Bill of Materials (SBOM) ist ein entscheidendes Instrument zur Identifikation von Sicherheitsrisiken.

Die Software Bill of Materials dokumentiert welche Open-Source-Software-Bestandteile in den Produkten enthalten sind. Abhängigkeiten zu Komponenten Dritter werden transparent. Wenn Open-Source-Komponenten bekannte Schwachstellen aufweisen, ermöglicht die SBOM es, die betroffenen Anwendungen oder Container schnell zu identifizieren und Gegenmaßnamen (z.B. durch Einspielen eines Patches) zu ergreifen.

Komponenten von Drittanbietern sind meist die Hauptangriffspunkte bei Softwareanwendungen. Die meisten Anwendungen bestehen heute zu über der Hälfte aus Third-Party-Code (Open-Source-Software und andere Komponenten von Drittanbietern, die wiederum vulnerable Open-Source-Komponenten enthalten können).

Binary Composition Analysis (BCA) mit CodeSentry

CodeSentry, eine führende Binary Composition Analysis (BCA) von CodeSecure Inc, analysiert Ihren Binärcode, erstellt eine SBOM und zeigt Abhängigkeiten sowie hierarchische Beziehungen von Softwarekomponenten. CodeSentry identifiziert Open-Source-Komponenten, die Verwendung von KI- und ML-Komponenten und gemeinsame Abhängigkeiten in Binärdateien, einschließlich Firmware, Containern und mobilen oder Desktop-Anwendungen. Die durch CodeSentry gelieferte SBOM ist mit VulnDB (der branchenweit umfassendsten Datenbank für Software-Schwachstellen) verknüpft. EPSS- und KEV-Katalogdaten (Known Exploited Vulnerability) werden ebenfalls bereitgestellt, um die Einstufung der gemeldeten Schwachstellen zu vereinfachen.

Durch Nutzung von CodeSentry werden Software Supply Chain Security-Risiken (SSCS-Risiken) minimiert.

Weitere Informationen

Cyber Resilience Act (Link auf "Amtsblatt der Europäischen Union")
CodeSentry