Wanneer organisaties starten met SBOMs, richten ze zich vrijwel uitsluitend op de code die in het uiteindelijke product (de .jar, binaire code of container) belandt. Maar wat als de gereedschappen die u gebruikt om die software te bouwen, zelf gecompromitteerd zijn?
De Fabriek is het Doelwit
Compile-time of build-time afhankelijkheden – denk aan compilers (GCC), build-tools (Maven, Webpack), code-generatoren (Lombok) en obfuscators – worden traditioneel overgeslagen in de SBOM. Toch hebben ze een fundamentele impact:
- Code-injectie: Een tool zoals een "annotation processor" herschrijft actief code tijdens het bouwproces. Een bug of achterdeurtje in die tool beïnvloedt direct uw applicatie, lang voordat deze verpakt is.
- De SolarWinds Les: Dit is exact hoe de SolarWinds-aanval plaatsvond. De aanvallers infecteerden het build-systeem. Terwijl de broncode perfect veilig leek, injecteerde de malafide build-straat stiekem een achterdeur in de vers gecompileerde software.
Van lezen naar doen
Benieuwd hoe ver úw organisatie is met de CRA? Test het in twee minuten met de gratis Quickscan, of verdiep u in de 4-weekse Survival Challenge.