CWE ID: 1357
Name: Reliance on Insufficiently Trustworthy Component
Das Produkt besteht aus mehreren separaten Komponenten, verwendet jedoch eine Komponente, deren Vertrauenswürdigkeit nicht ausreicht, um die Erwartungen hinsichtlich Security, Reliability, Updateability und Maintainability zu erfüllen.
Effektivität: Unknown
Beschreibung: Für jede Komponente ist sicherzustellen, dass deren Supply Chain gut kontrolliert ist, wobei Sub-Tier Suppliers Best Practices anwenden. Bei Third-Party Software Components wie Libraries ist sicherzustellen, dass diese von reputable Vendors entwickelt und aktiv maintained werden.
Effektivität: Unknown
Beschreibung: Es ist ein Material Bill of Materials (Bill of Materials) für alle Komponenten und Sub-Komponenten des Produkts zu führen. Für Software ist ein Software Bill of Materials (SBOM) zu führen. Gemäß [REF-1247] ist ein SBOM “ein formelles, maschinenlesbares Inventar von Software Components und Dependencies, Informationen über diese Components und ihre hierarchischen Beziehungen.”
Effektivität: Unknown
Beschreibung: Die Veränderungen in den einzelnen Produktkomponenten sind kontinuierlich zu überwachen, insbesondere wenn diese Veränderungen neue Vulnerabilities, End-of-Life (EOL) Pläne, Lieferantenpraktiken, die die Vertrauenswürdigkeit beeinflussen, etc. signalisieren.
