Generiert CSAF Dokumente mit BOMnipotent v1.6
Die neueste BOMnipotent Version führt ein minimales Format zum Generieren von CSAF Dokumenten ein.
Valide CSAF Dokumente zu schreiben ist schwierig. Ein Standard, der anstrebt, eine solche Vielzahl an Use-Cases abzudecken, wird notwendigerweise sehr komplex. Welche Felder sind benötigt? Unter welchen Bedingungen? Wie konstruiere ich meinen Product Tree? Welche IDs habe ich da nochmal genutzt? Wo muss ich überall das aktuelle Datum eintragen?
Es gibt Tools wie Secvisogram, welche die Erstellung von CSAF Dokumenten unterstützen. Aber, um Thomas Schmidt auf den CSAF Community Days 2025 zu zitieren, “Secvisogram war nie dafür gedacht, nutzerfreundlich zu sein.” Nun, BOMnipotent schon.
Beginnend mit Version 1.6 bietet BOMnipotent ein minimales, programmatisches Eingabeformat um CSAF Dokumente zu generieren. Ihr erstellt eine kurze TOML Datei, in der ihr spezifiziert, welche Sicherheitslücke ihr untersucht habt und inwieweit eure Produkte betroffen sind. BOMnipotent erledigt den Rest, es konstruiert einen Product Tree aus den BOMs auf eurem Server, und befüllt die leeren Felder.
Ihr könnt eine detaillierte Anleitung zu dem Format in der Dokumentation finden.
