Open Source @ HUK-COBURG – SBOM-Erstellung in der CI/CD-Pipeline

Im Jahr 2024 wird der Cyber Resilience Act (CRA) der EU voraussichtlich in Kraft treten. Dieses Gesetz bringt eine wichtige Neuerung für Unternehmen mit sich: Die Verpflichtung, eine Software Bill of Materials (SBOM) bereitzustellen. Als Versicherungsunternehmen mit einem starken Fokus auf IT und Digitalisierung hat die HUK-COBURG frühzeitig Maßnahmen ergriffen, um diese Anforderungen zu erfüllen. In diesem Blogbeitrag zeigen wir, wie wir uns mit einem neuen Open-Source-Projekt optimal auf diese Herausforderung vorbereitet haben.

Die SBOM ist eine detaillierte Liste aller Komponenten, die in einer Software enthalten sind – vergleichbar mit einer Zutatenliste in der Lebensmittelindustrie. Sie bietet Transparenz und ermöglicht es, Sicherheitslücken oder Compliance-Probleme frühzeitig zu erkennen. Mit dem Cyber Resilience Act wird diese Transparenz europaweit verpflichtend, um die Sicherheit von Software-Produkten zu gewährleisten.

Unser Softwareentwicklungsprozess basiert auf einer modernen CI/CD-Infrastruktur, die bei uns über Bitrise läuft. Um den Anforderungen des Cyber Resilience Act gerecht zu werden, war es notwendig, SBOMs direkt in den Build-Prozess zu integrieren. Dafür setzen wir auf das standardisierte Format CycloneDX, das sich in der Industrie als zuverlässiger Standard etabliert hat.

Das Problem? Bisher gab es keinen fertigen Bitrise-Step, der SBOMs auf Basis von CycloneDX generieren kann – insbesondere nicht für eine Cross-Plattform-Umgebung, die sowohl iOS- als auch Android-Apps unterstützt.

Um diese Lücke zu schließen, haben wir einen eigenen Bitrise-Step entwickelt, der das Tool cdxgen verwendet. Dieses Tool analysiert automatisch den Quellcode eines Projekts und erstellt daraus eine CycloneDX-kompatible SBOM.

Unser Step funktioniert nahtlos für iOS- und Android-Projekte und lässt sich einfach in jede bestehende Bitrise-Pipeline integrieren.

Der Step ist als Open-Source-Projekt unter folgender Adresse auf GitHub verfügbar:

https://github.com/HUK-COBURG/bitrise-steplib/tree/run-cdxgen.

1. Kompatibilität: Der Step unterstützt verschiedene Plattformen und ist ideal für hybride Teams geeignet.
2. Automatisierung: Die SBOM-Generierung erfolgt automatisch während des CI/CD-Builds, ohne zusätzlichen manuellen Aufwand.
3. Standardkonformität: Durch die Nutzung von CycloneDX als Format erfüllen wir die Anforderungen des Cyber Resilience Act.
4. Open Source: Als Teil unseres Engagements für Open Source stellen wir den Step der Community zur Verfügung, um den gemeinsamen Fortschritt zu fördern.

Mit der Entwicklung und Integration des cdxgen Steps in unsere Bitrise-Pipelines ist die HUK-COBURG optimal auf den Cyber Resilience Act vorbereitet. Der Schritt unterstreicht unser Engagement für Sicherheit, Transparenz und Open Source – und zeigt, wie wir technologische Herausforderungen proaktiv angehen.

Wir freuen uns, diesen Beitrag zur Open-Source-Community zu leisten und sind gespannt auf das Feedback und die Weiterentwicklungsmöglichkeiten. Bei Fragen oder Verbesserungsvorschlägen kannst Du Dich gerne über unser GitHub-Repository an uns wenden.

Neben dem cdxgen Step haben wir weitere Open-Source-Projekte veröffentlicht:

• SchwiftyResources ist ein Framework, welches das Laden und Speichern von Daten in Swift-Projekten abstrahiert. Mehr Informationen dazu gibt es in unserem Blog-Beitrag.
• licensePlist Bitrise Step automatisiert die Erstellung von Open-Source-Lizenzlisten in iOS-Projekten.

Veröffentlicht am 17. Dezember 2024 – Autorin: Johannes Bosecker