Verpasst nicht länger unveröffentlichte Sicherheitslücken!
Version 1.5.0 von BOMnipotent kann zyklisch andere CSAF Server anfragen.
Das heutige Ökosystem zur Verwaltung der Sicherheit der Software-Lieferkette ist ziemlich ausgereift. Insbesondere Open-Source-Projekte veröffentlichen immer mehr Sicherheitslücken in verschiedenen Datenbanken und machen sie so für Tools zur Automatisierung verfügbar.
Allerdings gibt es einen blinden Fleck. Die meisten Closed-Source-Anbieter veröffentlichen ihre Sicherheitslücken in diesen Datenbanken nicht, zumindest nicht sofort. Dabei handelt es sich nicht etwa um eine Unachtsamkeit, sondern um eine taktische Entscheidung: Die Anbieter informieren als erstes ihre Kunden, um ihnen die Möglichkeit zu geben, auf das Problem zu reagieren, bevor potenzielle Angreifer davon erfahren. Der Nachteil besteht darin, dass die Kunden möglicherweise einen separaten Kanal pro Closed-Source-Anbieter aufsetzen und überwachen müssen.
Der CSAF-Standard wurde geschaffen, um diesen Informationsfluss zu vereinheitlichen und die Zeit zwischen der Veröffentlichung eines Patches und seiner Anwendung zu verkürzen. Anbieter können Advisories erstellen und diese mit einer TLP-Klassifizierung hochladen. Diese Dokumente sind dann nicht für die Öffentlichkeit sichtbar, sondern nur für authentifizierte Kunden.
Ab Version 1.5.0 könnt ihr eine zyklische Aufgabe einrichten, welche BOMnipotent Server einen CSAF-Server nach seinen Dokumenten fragen lässt. Ihr könnt dieser Aufgabe ein Client-TLS-Zertifikat zur Verfügung stellen, also die Authentifizierungsmethode, welche derzeit von den meisten CSAF-Servern implementiert wird. Nachdem die CSAFs geladen wurden, gleicht der Server sie mit euren BOMs ab, genau wie Tools für Open-Source-Sicherheitslücken es tun würden. Liegt eine Übereinstimmung vor und gibt die CSAF an, dass die Komponente betroffen ist, entsteht eine neue Sicherheitslücke. Dadurch werden Sicherheitslücken von Closed-Source-Komponenten nahtlos in die öffentlich verfügbaren integriert.
Meines Wissens ist BOMnipotent derzeit die einzige Software mit dieser Fähigkeit.
Das vollständige Changelog findet sich, wie immer, in der Dokumentation.
