När man utvecklar applikationer idag använder de flesta företag tredjepartskomponenter, ofta med öppen källkod. Det sparar tid och resurser, men det skapar också utmaningar. Om en komponent innehåller en säkerhetsbrist eller har en problematisk licens kan det påverka hela mjukvaran.
Ett exempel är välkända Log4J, en populär loggningskomponent som används i tusentals applikationer. När sårbarheten Log4Shell upptäcktes i december 2021 blev det en global kris.
Denna sårbarhet gjorde det möjligt för angripare att köra skadlig kod på system som använde Log4J, och eftersom komponenten var så utbredd blev tusentals företag och organisationer drabbade. Inte minst utifrån hur mycket tid och resurser som lades ner på att undersöka.
Här visade det sig hur viktigt det är att veta exakt vilka komponenter som ingår i mjukvaran – något en SBOM hade kunnat underlätta.
Log4J är inte det enda exemplet. Andra kända sårbarheter i öppen källkod inkluderar:
-
Heartbleed (OpenSSL): En allvarlig sårbarhet som läckte känslig information från servrar som använde OpenSSL.
-
Apache Struts: En sårbarhet som ledde till ett stort dataintrång hos Equifax 2017, där miljontals konsumenters data exponerades.
-
Spring4Shell: En kritisk sårbarhet i Spring Framework som gjorde det möjligt för angripare att köra skadlig kod på servrar.
Dessa exempel visar hur sårbarheter i öppen källkod kan få stora konsekvenser. Med en SBOM kan man snabbt identifiera om sin mjukvara innehåller drabbade komponenter och vidta åtgärder innan det är för sent.