Vorwort

Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com

Software ist überall. Billionen von Codezeilen steuern jeden Teil unseres Lebens. Eine einzige Software-Schwachstelle oder ein Ransomware-Angriff kann ganze Unternehmen vom Geschäft abhalten und Milliarden von Dollar an Umsatzverlusten und Geschäftsrückgängen verursachen. Heute müssen wir mehr denn je sicherstellen, dass unsere Software, Firmware und Hardware sicher sind, damit unsere Welt sicher und zuverlässig funktioniert.

Malware, Sicherheitslücken, Anwendungssicherheit und Produktsicherheit sind in der Softwarebranche nichts Neues, aber jetzt sind diese Themen in den Mainstream-Nachrichten angekommen, weil sie Auswirkungen auf alle haben. Mein Anteil daran wurde sehr real, als ich in der Woche des Colonial Pipeline-Anschlags meine Familie an der US-Ostküste besuchte.¹ Ich verbrachte zwei Stunden in der Warteschlange an der einzigen Tankstelle im Umkreis von 20 Meilen, die Benzin hatte, und erklärte meiner Familie den Rest des Nachmittags über Business Continuity und Angriffe auf die Lieferkette.

Lieferketten sind entscheidend für unser Leben. Laut Investopedia ist "eine Lieferkette ein Netzwerk von Einzelpersonen und Unternehmen, die an der Herstellung eines Produkts und seiner Lieferung an den Verbraucher beteiligt sind".² Das Gleiche gilt für Software. Software wird in der Regel von mehreren Personen entwickelt, die oft zu mehreren Organisationen oder Unternehmen gehören. Im Laufe der Zeit können Tausende von Entwicklern Code in einer einzigen Anwendung haben. Ich habe zum Beispiel den Code für paint.exe von ZSoft geschrieben, das in den 1980er Jahren an Microsoft verkauft wurde. Ich bin mir sicher, dass es noch Codezeilen von mir in MS Paint auf der Microsoft Windows-Plattform gibt. Fast 40 Jahre später haben unzählige Entwicklerinnen und Entwickler ihre Talente zu dieser kleinen, aber nützlichen Anwendung beigetragen.

Die Gewährleistung der Softwaresicherheit innerhalb der Lieferkette ist schwierig. Das liegt in der Regel an der Langlebigkeit von Code, der geschrieben wurde, bevor es sichere Entwicklungs- und Designpraktiken gab. In Kombination mit den ständig wachsenden Bedrohungen, die immer neue Wege finden, um Code und Systeme auszunutzen, wird es immer schwierig sein, die Sicherheit eines Produkts oder einer Anwendung zu garantieren, aber das sollte uns nicht davon abhalten, unser Bestes zu geben, um die Software-Lieferkette zu sichern.

Trotz der komplizierten Natur der Software-Lieferkette ist es unsere Pflicht als Softwarehersteller, sichere Lieferketten einzurichten und unseren Kunden Informationen zur Verfügung zu stellen. Als Verbraucher sollten wir diese Informationen nutzen, um uns mit den Risiken auseinanderzusetzen, die die Lieferkette für unser eigenes Unternehmen darstellen könnte.

Der Aufwand zur Verbesserung der Software-Lieferkette eines Unternehmens ist nicht gering. Und es ist nicht nur ein Problem des Softwareentwicklungsprozesses: Die Sicherheit der Software-Lieferkette erfordert die Beteiligung aller Parteien in der Lieferkette, um die Sicherheit von Software, Firmware und Hardware zu verbessern.

In diesem Buch zeige ich dir, wie du ein Sicherheitsprogramm für die Software-Lieferkette in einem Unternehmen jeder Größe einführst, vor allem aber für kleine Unternehmen, die keine eigenen Experten für Anwendungs- oder Lieferkettensicherheit haben. Ich erkläre, warum es jede Sicherheitskontrolle gibt, ohne dass jemand einen Abschluss in Informatik oder Cybersicherheit braucht, um die Sicherheitsrisiken und die Gründe für die Kontrollen zu verstehen.

Dieses Buch ist nicht als allumfassende Sammlung von Kontrollen gedacht. Du kannst alle Kontrollen, die nicht anwendbar sind, entfernen und die Kontrollen, die du brauchst, zu dem Kontrollrahmen hinzufügen, den du bereits eingerichtet hast. Ich habe Hunderte von Verweisen für diejenigen aufgenommen, die vorgeschriebene Rahmenwerke, Normen, Gesetze oder Vorschriften befolgen müssen. Ich muss dich jedoch warnen, dich nicht auf diese Rahmenwerke zu beschränken. Du solltest deine Kontrollen immer erweitern und anpassen, um den aktuellen Lücken und Risiken in deiner Organisation zu begegnen.

Wer sollte dieses Buch lesen?

Dieses Buch richtet sich an alle, die mit der Sicherheit von Dritten, der Lieferkette, dem Kauf von Produkten und Anwendungen für ihr Unternehmen, Open-Source-Software oder in ihrem Unternehmen entwickelter Software betraut sind. Du kannst "Sicherheit" in deinem Titel haben oder auch nicht. Jeder, der mit der Auswahl, der Produktion und dem Betrieb von Software betraut ist, kann dieses Buch nutzen, um die Risiken in der Software-Lieferkette zu verstehen und um Kontrollen und Rahmenwerke zu implementieren. Das Buch setzt keine Vorkenntnisse im Bereich Cybersicherheit voraus, obwohl einige Bereiche technisch erklärt werden und viele Verweise zum Weiterlernen anregen.

Ich habe dieses praktische Nachschlagewerk so gestaltet, dass es von Führungskräften aus Wirtschaft und Technik sowie aus den Bereichen Recht, Beschaffung, Versicherung und Lieferkette verstanden wird. Dieses Buch richtet sich auch an die Leiter von Sicherheitsprogrammen, egal ob sie als CISO (Chief Information Security Officer), CPSO (Chief Product Security Officer), CSO (Chief Security Officer), GRC (Governance, Risk and Compliance), Anwendungssicherheit oder Produktsicherheit tätig sind.

Warum ich dieses Buch geschrieben habe

Meine Geschichte der Softwareentwicklung begann mit einem Besuch bei der Arbeit meines Vaters in der IBM-Fabrik in Rochester, Minnesota, Mitte der 1970er Jahre. Mein Vater war Programmierer, und obwohl ich nicht wirklich verstand, was er tat, wusste ich, dass es etwas mit der Herstellung von Maschinen zu tun hatte, die interessante und komplexe Dinge produzierten. Auch Jahre später finde ich die Softwareentwicklung immer noch interessant, komplex und voller Nuancen. Als jemand, der als Entwickler, Projektmanager und leitender Angestellter an mehr als tausend Releases für Verbraucher- und Geschäftsanwendungen beteiligt war, weiß ich, wie wichtig es ist, Qualitätsprodukte rechtzeitig und im Rahmen des Budgets zu veröffentlichen. In meinen Funktionen als Cybersecurity Leader und Product Security Leader war ich auch für die Bereitstellung sicherer Anwendungen, Produkte, Systeme und Infrastrukturen für ein Portfolio von über 15.000 intelligenten Produkten verantwortlich.

Was mich jedoch zu meiner Leidenschaft für die Sicherheit der Lieferkette geführt hat, ist das Ergebnis meiner Arbeit mit den Tausenden von Anbietern in unserer Lieferkette. Seit Jahren treffe ich mich mit Lieferanten, um mit ihnen über ihren sicheren Entwicklungszyklus, sichere Testpläne, Schwachstellenmanagement, das Risiko Dritter und vieles mehr zu sprechen. Diese Zulieferer, die Quellcode, Softwarebibliotheken, Komponenten, Produkte und Dienstleistungen beisteuern, verfügen in der Regel nicht über die Ressourcen eines großen, multinationalen Unternehmens. Die Identifizierung der wichtigsten Kontrollen und Praktiken für ihre spezifische Situation erfordert ein Verständnis der Prioritäten, Risiken und Auswirkungen. Diese Zusammenarbeit ist mir sehr wichtig, und ich habe dieses Buch speziell für Unternehmen geschrieben, die die Sicherheit ihrer Software-Lieferkette verbessern wollen.

Die Sicherheit der Software-Lieferkette ändert sich schnell. Zweifellos wird es neue und geänderte Rahmenwerke, Dokumente, Vorschriften, Ideen und Links geben, noch bevor dieses Buch veröffentlicht wird. Es ist meine Absicht, diese Informationen so aktuell wie möglich zu halten, also melde dich gerne für meinen Newsletter an. Du kannst mich auch unter cassie@supplychainsecurity.pro kontaktieren, um mir Updates, Feedback und Korrekturen zu schicken, ein Treffen zu vereinbaren oder mich als Redner oder Gast anzufordern.

Navigieren in diesem Buch

Dieses Buch ist wie folgt gegliedert:

Die Kapitel 1 und 2 bieten eine Einführung in die Konzepte der Software-Lieferkettensicherheit und Erläuterungen zu den verschiedenen Rahmenwerken und Referenzen im Risikomanagement der Lieferkette.
Kapitel 3 fasst die verschiedenen Sicherheitskontrollen der Infrastruktur zusammen, die für die Sicherheit der Software-Lieferkette besondere Aufmerksamkeit erfordern.
In Kapitel 4 werden die wichtigsten Praktiken innerhalb eines sicheren Entwicklungslebenszyklus und die verschiedenen verfügbaren Frameworks untersucht.
In den Kapiteln 5 und 6 werden die verschiedenen Arten von Quellcode beschrieben und wie man ihre Integrität während der Entwicklung, des Builds, der Bereitstellung und des Betriebs von Software, Produkten, Infrastruktur und Cloud-Anwendungen bewahrt.
In Kapitel 7 werden die Sicherheitsrisiken in Bezug auf das geistige Eigentum des Quellcodes und aller in der Lieferkette verwendeten Daten dargestellt.
Kapitel 8 befasst sich mit der Transparenz der Produkte und Dienstleistungen durch eine Software-Stückliste und die Offenlegung von Schwachstellen.
Kapitel 9 bereitet Organisationen darauf vor, Cyber-Vereinbarungen mit Drittanbietern zu bewerten und zu verwalten.
Kapitel 10 beschreibt die Risiken und Kontrollen für Produkte, die vorgelagerte Prozesse wie Herstellung, Logistik oder Kundenprojekte durchlaufen, bevor sie den Verbraucher erreichen.
Kapitel 11 befasst sich mit den Risiken, die von Menschen in der Lieferkette ausgehen, und damit, wie man diesen Risiken durch Sensibilisierung und Schulung begegnen kann.

In den meisten Kapiteln dieses Buches und in einem Anhang am Ende habe ich außerdem fast 80 Kontrollen zusammengestellt, die sich speziell auf die Sicherheit der Software-Lieferkette beziehen. Du kannst diese Kontrollen hinzufügen, entfernen, verändern oder an die Bedürfnisse deines Unternehmens anpassen. Die Kontrollen stehen zum Download bereit, wenn du dich für meinen Newsletter anmeldest.

In diesem Buch verwendete Konventionen

In diesem Buch werden die folgenden typografischen Konventionen verwendet:

Kursiv: Weist auf neue Begriffe, URLs, E-Mail-Adressen, Dateinamen und Dateierweiterungen hin.
Constant width: Wird für Programmlistings sowie innerhalb von Absätzen verwendet, um auf Programmelemente wie Variablen- oder Funktionsnamen, Datenbanken, Datentypen, Umgebungsvariablen, Anweisungen und Schlüsselwörter hinzuweisen.

O'Reilly Online Learning

Hinweis

Seit mehr als 40 Jahren bietet O'Reilly Media Schulungen, Wissen und Einblicke in Technologie und Wirtschaft, um Unternehmen zum Erfolg zu verhelfen.

Unser einzigartiges Netzwerk von Experten und Innovatoren teilt sein Wissen und seine Erfahrung durch Bücher, Artikel und unsere Online-Lernplattform. Die Online-Lernplattform von O'Reilly bietet dir On-Demand-Zugang zu Live-Trainingskursen, ausführlichen Lernpfaden, interaktiven Programmierumgebungen und einer umfangreichen Text- und Videosammlung von O'Reilly und über 200 anderen Verlagen. Weitere Informationen erhältst du unter https://oreilly.com.

Wie du uns kontaktierst

Bitte richte Kommentare und Fragen zu diesem Buch an den Verlag:

O'Reilly Media, Inc.
1005 Gravenstein Highway Nord
Sebastopol, CA 95472
800-889-8969 (in den Vereinigten Staaten oder Kanada)
707-827-7019 (international oder lokal)
707-829-0104 (Fax)
support@oreilly.com
https://www.oreilly.com/about/contact.html

Wir haben eine Webseite für dieses Buch, auf der wir Errata, Beispiele und zusätzliche Informationen auflisten. Du kannst diese Seite unter https://oreil.ly/software-supply-chain-security aufrufen .

Neuigkeiten und Informationen über unsere Bücher und Kurse findest du unter https://oreilly.com.

Du findest uns auf LinkedIn: https://linkedin.com/company/oreilly-media.

Folge uns auf Twitter: https://twitter.com/oreillymedia.

Sieh uns auf YouTube: https://youtube.com/oreillymedia.

Danksagungen

Ich möchte meinem wunderbaren Ehemann Craig und meiner erstaunlichen Tochter Emma meinen aufrichtigen Dank dafür aussprechen, dass sie mir in den letzten anderthalb Jahren Zeit zum Schreiben und Bearbeiten dieses Buches gegeben haben. Ich möchte Craig, Emma, meiner anderen wunderbaren Tochter Evelyn, meiner Mutter Carol, meiner Schwester Suzie, meinem Bruder Kelly, meiner besten Freundin Amanda Jackson sowie all meinen lieben Verwandten, Freunden und Kollegen für ihre große Unterstützung und Ermutigung danken. Eure Begeisterung darüber, dass dieses Buch Wirklichkeit wird, war für mich sehr wichtig und ermutigend.

Ich möchte Charles Hart, Robert Lembree und Kunal Bhattacharya für die unzähligen Stunden danken, in denen sie die Kapitel durchgesehen und hervorragende Vorschläge gemacht haben. Wenn du jemals etwas brauchst, werde ich für dich da sein.

Ich bin Emily Heath sehr dankbar, dass sie das Vorwort geschrieben hat. Sie ist eine unglaubliche Inspiration und ein Rockstar der Cybersicherheit. Außerdem danke ich Luc Poulin für die Unterstützung bei "ISO/IEC 27034 Application Security", Dr. Allan Friedman für alles, was mit SBOM zu tun hat, und den vielen Leuten in den SBOM-Communities, darunter Duncan Sparrell, Tom Alrich, Dmitry Raidman, Chris Blask, Audra Hatch und Josh Corman.

Ich möchte meinen unglaublichen aktuellen und ehemaligen Kollegen für ihre Unterstützung danken, darunter Klaus Jaeckle, Christophe Blassiau, Sheila Casserly, Patrick Ford, Trevor Rudolph, Anne Marie van den Hurk, Mansur Abilkasimov, Megan Samford, Paul Forney, Matthieu Adam, Hussain Mujtaba, Dwaraka Atri, Paula Berger und vielen anderen. Ich möchte mich auch bei den Mitgliedern der Purple Book Community bedanken, die unter der Leitung von Nikhil Gupta und Lingraj Patil zu den führenden Köpfen in Sachen Anwendungssicherheit gehören. Ohne das Purple Book hätte ich nicht so viele brillante Leute kennengelernt, darunter Mike Barlow, der mich mit den Redakteuren von O'Reilly Media bekannt gemacht hat.

Mein letzter Dank geht an alle bei O'Reilly Media und an die beste Cheerleaderin und Redakteurin, Rita Fernando. Sie war so professionell und verständnisvoll, was den Zeitplan und den Schreibprozess anging. Ihr Lächeln gab mir immer Trost, selbst wenn ich gestresst war.

Ich widme dieses Buch meinem Vater, James Forrest Crossley. Er war ein Pionier und Patentinhaber auf dem Gebiet der Technologie, aber für mich war er einfach ein Streber, der glaubte, dass seine Kinder alles schaffen können.

¹ Charlie Osborne, "Colonial Pipeline Attack: Everything You Need to Know", ZDNET, 13. Mai 2021.

² Adam Hayes, "Die Lieferkette: From Raw Materials to Order Fulfillment", Investopedia, 28. März 2023.

Get Sicherheit der Software-Lieferkette now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Sicherheit der Software-Lieferkette by Cassie Crossley