CWE ID: 1395
Name: Dependency on Vulnerable Third-Party Component
Das Produkt hat eine Abhängigkeit von einer Drittanbieter-Komponente, die eine oder mehrere bekannte Vulnerabilities enthält.
Effektivität: Unknown
Beschreibung: In einigen Branchen wie dem Gesundheitswesen [REF-1320] [REF-1322] oder Technologien wie der Cloud [REF-1321] kann es unklar sein, wer für das Anwenden von Patches für Drittanbieter-Vulnerabilities verantwortlich ist: der Vendor, der Operator/Kunde oder ein separater Service. Die Klärung von Roles und Responsibilities kann wichtig sein, um Verwirrung oder unnötige Verzögerungen bei der Offenlegung von Drittanbieter-Vulnerabilities zu minimieren.
Effektivität: Unknown
Beschreibung: Es ist erforderlich, eine Materialliste für alle Komponenten und Sub-Komponenten des Produkts vorzulegen. Für Software ist eine Software Bill of Materials (SBOM) [REF-1247] [REF-1311] erforderlich.
Effektivität: Unknown
Beschreibung: Es ist erforderlich, eine Materialliste für alle Komponenten und Sub-Komponenten des Produkts zu führen. Für Software ist eine Software Bill of Materials (SBOM) zu führen. Gemäß [REF-1247] ist eine SBOM „ein formelles, maschinenlesbares Inventar von Software-Komponenten und Abhängigkeiten, Informationen über diese Komponenten und ihre hierarchischen Beziehungen“.
Effektivität: Unknown
Beschreibung: Überwachen Sie aktiv, wenn ein Drittanbieter von Komponenten Sicherheitslücken bekannt gibt; beheben Sie die Drittanbieter-Komponente so schnell wie möglich; und stellen Sie sicher, dass Betreiber/Kunden den Patch einfach erhalten und anwenden können.
Effektivität: Unknown
Beschreibung: Überwachen Sie kontinuierlich Änderungen in jeder Produktkomponente, insbesondere wenn diese Änderungen neue Vulnerabilities, End-of-Life (EOL) Pläne usw. signalisieren.
