Feat: Create SBOM best practice.md #78

Jonasvdbo · 2023-11-03T11:01:19Z

Add SBOM best practice

Add SBOM best practice Signed-off-by: Jonas van den Bogaard <[email protected]>

Signed-off-by: Jonas van den Bogaard <[email protected]>

MauriceHendriks · 2023-12-21T21:39:19Z

docs/best-practices/SBOM.md

+Een SBOM is een belangrijke tool om inzicht te krijgen in potentiële technische kwetsbaarheden die verbonden zijn aan hun software. Het helpt organisaties te begrijpen van welke softwarecomponenten ze afhankelijk zijn, waar deze softwarecomponenten worden gebruikt, en hoe dit hen kan blootstellen aan potentiële security risico's. Een SBOM is tevens van cruciaal belang om adequaat te kunnen reageren op nieuwe technische kwetsbaarheden in softwarecomponenten omdat snel de impact bepaald kan worden.
+
+## 3. Wat staat er in een SBOM?
+Hoewel er momenteel geen uniforme beschrijving is van hoe een SBOM er precies uit moet zien of welke elementen het moet bevatten, stelt de in ontwikkeling zijnde update van ISO/IEC 27036-3 een set van essentiële elementen voor die een SBOM moet bevatten. Dit omvat informatie zoals de auteur van de SBOM, een tijdstempel, informatie over de levenscyclus, leveranciersnaam, componentnaam, versie, een unieke identifier en andere relevante details.


ISO/IEC 27036-3 is teruggetrokken en vervangen door ISO/IEC 27036-3:2023

MauriceHendriks · 2023-12-21T21:40:34Z

docs/best-practices/SBOM.md

+Een SBOM is een gedetailleerde lijst softwarecomponenten die in een stuk software zijn opgenomen. Het biedt een volledige weergave van alle softwarecomponenten, inclusief open-source libaries, commerciële componenten, en zelfgeschreven code die deel uitmaakt van het softwareproduct. In essentie is een SBOM de ingrediëntenlijst van een softwareproduct.
+
+## 2. Waarom is een SBOM belangrijk?
+Een SBOM is een belangrijke tool om inzicht te krijgen in potentiële technische kwetsbaarheden die verbonden zijn aan hun software. Het helpt organisaties te begrijpen van welke softwarecomponenten ze afhankelijk zijn, waar deze softwarecomponenten worden gebruikt, en hoe dit hen kan blootstellen aan potentiële security risico's. Een SBOM is tevens van cruciaal belang om adequaat te kunnen reageren op nieuwe technische kwetsbaarheden in softwarecomponenten omdat snel de impact bepaald kan worden.


- gebruikt, en + gebruikt en

MauriceHendriks · 2023-12-21T21:40:56Z

docs/best-practices/SBOM.md

+Er bestaan momenteel twee populaire SBOM-standaarden: de Software Package Data Exchange (SPDX) en CycloneDX. Beide zijn open-source standaarden, waarbij de eerste een ISO-gecertificeerde standaard is. Het wordt aangeraden om zowel SPDX als CycloneDX te ondersteunen, omdat er voldoende overlap is tussen de verschillende velden en de essentiële elementen kunnen worden beschreven in alle standaarden. Bovendien krijg je als organisatie al snel met beide varianten te maken door de verscheidenheid aan tools en partijen.
+
+## 5. Implementatie van SBOM in een organisatie
+De implementatie van SBOM in een organisatie vereist enkele overwegingen. Organisaties moeten processen vaststellen voor het genereren, beheren en delen van SBOMs. Dit omvat het maken van afspraken met softwareleveranciers over het leveren van SBOMs, het genereren van SBOMs voor zelfontwikkelde software of software waar geen SBOM voor beschikbaar is, en het organiseren van processen voor het up-to-date houden en delen van SBOMs.


- is, en + is en

MauriceHendriks · 2023-12-21T21:42:45Z

@RietveldBLD kwam met een mooie toevoeging vandaag. De SBOM kan gevraagd worden achteraf maar ook vooraf. Zodat je een specificatie krijgt van wat een leverancier van plan is te gaan leveren. Daarmee kan je controleren of er wel aan de vereisten wordt voldaan voor bijv. het gebruiken van een open source database of open source encryptie libraries.

MauriceHendriks · 2023-12-21T21:44:20Z

docs/best-practices/SBOM.md

@@ -0,0 +1,24 @@
+# Software Bill of Materials (SBOM) | Wat, waarom en hoe?
+
+De moderne digitale wereld kan niet zonder (open source) software. Veel van de software die we dagelijks gebruiken, bestaat uit complexe componenten die door verschillende ontwikkelaars en leveranciers zijn gecreëerd. Maar hoe weet je precies welke componenten er in een stuk software zitten? Het antwoord ligt in een Software Bill of Materials (SBOM). Zowel van uit Open Source Foundations als Cyber Security Centres is veel aandacht voor SBOM. Zo heeft Open Source Security Foundation een [‘SBOM Everywhere’](https://openssf.org/blog/2023/06/30/sbom-everywhere-and-the-security-tooling-working-group-providing-the-best-security-tools-for-open-source-developers/)  initiatief gestart en heeft het Nationaal Cyber Security Centrum (NCSC) heeft een paar maanden terug een nieuwe gids uitgebracht: [de SBOM Startersgids](https://www.ncsc.nl/documenten/publicaties/2023/juli/5/sbom-startersgids) . Deze gids is ontworpen om organisaties te helpen SBOM’s beter te begrijpen en hoe ze SBOM’s kunnen integreren in hun softwareontwikkelingsprocessen. Deze best pratcice geeft inzicht in wat SBOM’s inhouden en waarom ze van belang zijn.


- developers/) initiatief + developers/) initiatief

- startersgids) . Deze + startersgids). Deze

Create SBOM.md

7c56b65

Add SBOM best practice Signed-off-by: Jonas van den Bogaard <[email protected]>

Jonasvdbo self-assigned this Nov 3, 2023

Jonasvdbo changed the title ~~Create SBOM.md~~ Feat: Create SBOM best pratice.md Nov 3, 2023

Update SBOM.md

f4ebb7e

Signed-off-by: Jonas van den Bogaard <[email protected]>

Jonasvdbo changed the title ~~Feat: Create SBOM best pratice.md~~ Feat: Create SBOM best practice.md Nov 3, 2023

MauriceHendriks reviewed Dec 21, 2023

View reviewed changes

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Feat: Create SBOM best practice.md #78

Feat: Create SBOM best practice.md #78

Jonasvdbo commented Nov 3, 2023

MauriceHendriks Dec 21, 2023

MauriceHendriks Dec 21, 2023

MauriceHendriks Dec 21, 2023

MauriceHendriks commented Dec 21, 2023

MauriceHendriks Dec 21, 2023

		@@ -0,0 +1,24 @@
		# Software Bill of Materials (SBOM) \| Wat, waarom en hoe?

		De moderne digitale wereld kan niet zonder (open source) software. Veel van de software die we dagelijks gebruiken, bestaat uit complexe componenten die door verschillende ontwikkelaars en leveranciers zijn gecreëerd. Maar hoe weet je precies welke componenten er in een stuk software zitten? Het antwoord ligt in een Software Bill of Materials (SBOM). Zowel van uit Open Source Foundations als Cyber Security Centres is veel aandacht voor SBOM. Zo heeft Open Source Security Foundation een [‘SBOM Everywhere’](https://openssf.org/blog/2023/06/30/sbom-everywhere-and-the-security-tooling-working-group-providing-the-best-security-tools-for-open-source-developers/) initiatief gestart en heeft het Nationaal Cyber Security Centrum (NCSC) heeft een paar maanden terug een nieuwe gids uitgebracht: [de SBOM Startersgids](https://www.ncsc.nl/documenten/publicaties/2023/juli/5/sbom-startersgids) . Deze gids is ontworpen om organisaties te helpen SBOM’s beter te begrijpen en hoe ze SBOM’s kunnen integreren in hun softwareontwikkelingsprocessen. Deze best pratcice geeft inzicht in wat SBOM’s inhouden en waarom ze van belang zijn.

Feat: Create SBOM best practice.md #78

Are you sure you want to change the base?

Feat: Create SBOM best practice.md #78

Conversation

Jonasvdbo commented Nov 3, 2023

MauriceHendriks Dec 21, 2023

Choose a reason for hiding this comment

MauriceHendriks Dec 21, 2023

Choose a reason for hiding this comment

MauriceHendriks Dec 21, 2023

Choose a reason for hiding this comment

MauriceHendriks commented Dec 21, 2023

MauriceHendriks Dec 21, 2023

Choose a reason for hiding this comment