Open Source & SBOM Resilience
OSS-Schwachstellenmanagement
Schwachstellen in OSS-Komponenten werden nach einem siebenstufigen Workflow erkannt, bewertet, entschieden, umgesetzt und verifiziert. Kritische Entscheidungen unterliegen Human Gates.
Management-Zusammenfassung
- Siebenstufiger Workflow: Erkennung → Triage → Impact Assessment → Entscheidung → Umsetzung → Verifikation → Reporting.
- 9 Zustände bilden den vollständigen Lebenszyklus einer OSS-Schwachstelle ab.
- 4 Human Gates stellen sicher, dass Risikoakzeptanzen, Patch-Ausnahmen, Lieferanteneskalationen und Vertragsabweichungen von qualifizierten Personen freigegeben werden.
Workflow: 7 Schritte
Erkennung
SBOM wird gegen Schwachstellendatenbanken (NVD, OSV, GitHub Advisory) abgeglichen.
Triage
Schwachstelle wird nach CVSS, Ausnutzbarkeit, Geschäftsrelevanz und kwF-Bezug bewertet.
Impact Assessment
Auswirkung auf kritische Dienste, Daten und regulatorische Anforderungen wird analysiert.
Entscheidung
Patch, Upgrade, kompensierende Kontrolle, befristete Risikoakzeptanz oder Lieferanteneskalation.
Umsetzung
Gewählte Maßnahme wird umgesetzt und dokumentiert.
Verifikation
Erfolg der Maßnahme wird verifiziert und im Evidence Pack dokumentiert.
Reporting
Kritische Findings fließen in Management-Reporting und Decision Log.
Zustände
9 Zustände bilden den vollständigen Lebenszyklus einer OSS-Schwachstelle ab:
Human Gates
Kritische Entscheidungen im Schwachstellenmanagement erfordern eine menschliche Freigabe:
- Risikoakzeptanz bei High/Critical Findings
- Patch-Ausnahme bei kritischer oder wichtiger Funktion
- Lieferanteneskalation bei fehlender SBOM
- Vertragsabweichung bei fehlender OSS-Transparenz