Axis Communications bietet ab sofort eine Software-Materialliste (Software Bill of Materials, SBOM) für AXIS OS an, das Linux-basierte Betriebssystem der meisten Axis Geräte. Ziel ist es, die Cybersicherheit mehr in den Fokus der Aufmerksamkeit zu rücken und die Transparenz zu verbessern, hauptsächlich für Kunden, Sicherheitsforscher und Behörden.
Seit dem Release AXIS OS 11.2 im Januar 2023 wird jedes Release von AXIS OS von einer SBOM im CycloneDX-Format begleitet. Jede SBOM listet transparent alle OpenSource- und Axis-eigenen Softwarekomponenten auf, aus denen das AXIS OS-Release besteht. Aufgrund der aktuellen Lizenzierung und technischen Einschränkungen sind fertig kompilierte Bundles und externe proprietäre Komponenten zunächst ausgenommen. Axis versucht, diese Komponenten bei zukünftigen Releases zu berücksichtigen.
Was ist also eine SBOM? Nun, genau wie eine Materialliste in der Produktion oder beim Maschinenbau ist eine Software-Materialliste eine umfassende, detaillierte Liste aller erforderlichen Komponenten zur Herstellung eines Softwareprodukts – in diesem Fall AXIS OS. Sie könnte auch mit der Zutatenliste auf einer Lebensmittelverpackung verglichen werden: Kennt man die Zutaten eines Artikels, weiß man genau, was man kauft. Das gleiche Prinzip gilt bei Software.
Zu den wichtigen Vorteilen einer SBOM gehören der Zugriff auf:
- Eine Liste aller Komponenten (inklusive Versionen), aus denen ein Produkt besteht
- Eine transparente Bestandsliste der Software-Lieferkette
- Einblicke in bekannte Schwachstellen, die die Komponenten beeinträchtigen könnten
- Einblicke in die bei den Lieferanten angewandten Best Practices bei der Cybersicherheit
- Wertvolle Informationen für Drittparteien, die sich auf Schwachstellenbeurteilung, Bedrohungsanalyse und Abhilfepläne spezialisiert haben
Johan Paulsson, CTO von Axis Communications, kommentiert: „Axis glaubt, dass langfristige Cybersicherheit auf Vertrauen und Transparenz aufbaut.“
Die Bereitstellung einer SBOM für AXIS OS ist ein weiterer Baustein bei unseren Bestrebungen, den Kunden transparente Informationen über ihre Axis Produkte zu liefern.
Zum Öffnen der SBOM für AXIS OS folgt man dem Standardverfahren zum Herunterladen des AXIS OS auf unserer Website. Ein neuer Link ermöglicht das Herunterladen und Ansehen der SBOM, die danach in einem Texteditor geöffnet werden kann, um die Informationen anzusehen.
Axis Communications untersucht zusätzlich, ob SBOMs auch bei anderen Axis Produkten anwendbar sind und in Zukunft bereitgestellt werden könnten.