Wat is een SBOM?
Een SBOM (Software Bill of Materials) is een gedetailleerde lijst van alle softwarecomponenten, bibliotheken en afhankelijkheden die aanwezig zijn in een softwareproduct of Embedded systeem.
In OT-omgevingen is een SBOM cruciaal om te begrijpen welke kwetsbare componenten zich in Firmware of industriële software bevinden, en hoe snel daarop kan worden gereageerd.
🧠 Waarom is een SBOM belangrijk?
| Voordeel | Toelichting |
|---|---|
| Transparantie | Inzicht in alle gebruikte (open-source) componenten |
| Snelle kwetsbaarheidsanalyse | Detectie van CVE’s op bekende libraries of dependencies |
| Beheer van leveranciersrisico’s | Begrip van de softwareherkomst bij derde partijen |
| Compliance & regelgeving | Vereist onder o.a. Cyber Resilience Act, NIS2, ISO 27036 |
| Incidentrespons versnellen | Bij bekend lek (bv. Log4Shell) snel vaststellen of jouw assets geraakt zijn |
🏭 SBOM in OT-context
| Toepassing | Voorbeeld |
|---|---|
| Firmware van PLC | Bevat lijst van interne OS-componenten en protocol-stacks |
| HMI-software van leverancier | Lijst met Qt-, OpenSSL- of databasecomponenten |
| Remote Access gateway | Inzicht in gebruikte cryptografie en authenticatielogica |
| Cloud SCADA-platform | Transparantie over gebruikte back-end modules en dependencies |
🧩 Formaten & standaarden
| Formaat | Toelichting |
|---|---|
| SPDX | Veelgebruikt en ondersteund door Linux Foundation |
| CycloneDX | SBOM-standaard gericht op security en DevSecOps |
| SWID | Software ID Tags – meer op licentiebeheer gericht |
In veel gevallen leveren leveranciers SBOM’s aan in SPDX of CycloneDX formaat als JSON/XML-bestand.
🔐 SBOM & Cybersecurity
| Beveiligingsmaatregel | Relatie met SBOM |
|---|---|
| Vulnerability Management | CVE-scanning op basis van SBOM-componenten |
| Patchmanagement | Gericht updaten van kwetsbare modules uit SBOM |
| Supplier Security | Eisen stellen aan softwaretransparantie bij leveranciers |
| Threat Intelligence | SBOM koppelen aan dreigingen in realtime (zero-day alerts) |
| Firmware Signing | Verifiëren dat SBOM en binaries overeenkomen |
✅ Best practices
- Vraag bij elke nieuwe softwareleverancier om een actuele SBOM
- Integreer SBOM’s in je Asset Inventory en CMDB
- Scan SBOM’s regelmatig op nieuwe kwetsbaarheden (CVE’s)
- Leg SBOM-controles vast in je Third Party Risk Management
- Combineer SBOM met Code Signing en Secure Boot voor volledige supply chain control
📌 Samengevat
Een SBOM maakt zichtbaar wat er écht in je industriële software draait. Het vormt de basis voor kwetsbaarheidsbeheer, leverancierstransparantie en Compliance.