Im Zentrum des Papers steht die sogenannte "Software Bill of Materials" (SBOM). Eine SBOM ist eine detaillierte Auflistung aller Komponenten, Bibliotheken und Module, die in einem Softwareprodukt verwendet werden. Eine solche Liste sicherheitsrelevant, da so potenzielle Schwachstellen oder veraltete Komponenten schnell identifiziert und behoben werden können.

SBOMs sollen also helfen, die Sicherheit von Software-Lieferketten zu verbessern. Allerdings zeigt die aktuelle Untersuchung von THA_innos, dass die Tools zur Erstellung dieser SBOMs noch Schwächen aufweisen.

Das Paper untersuchte SBOM-Erstellungstools für vier populäre Programmiersprachen: Python und TypeScript für Webanwendungen sowie C und Rust für systemnahe Software. Das Ergebnis: Keines der untersuchten Tools konnte alle Anforderungen vollständig erfüllen. Viele Tools liefern unvollständige SBOMs, die nicht alle Testpakete und Abhängigkeiten erfassen. Dies kann in der Praxis zu Schwierigkeiten bei der Erkennung von Sicherheitslücken führen.

Die Ergebnisse der Studie legen nahe, dass sowohl Behörden als auch die Industrie handeln sollten. Es werden klarere Spezifikationen für SBOMs benötigt, besonders was ihre Genauigkeit und Detailtiefe angeht. Die Forschenden der THA empfehlen weitere Untersuchungen, auch für proprietäre Tools und andere Programmiersprachen.

Die jährliche International Conference on Availability, Reliability, and Security (ARES) ist ein bedeutendes Treffen für Forschende und Praktiker im Bereich IT-Sicherheit und Datenschutz. ARES dient als Forum für eingehende Diskussionen über Zuverlässigkeit und behandelt Themen wie Sicherheit, Vertraulichkeit, Integrität, Wartbarkeit und Schutz für verschiedene Anwendungen.