Supply Chain Security mit SBOM und Sigstore

Stellen Sie sich vor, Sie kaufen ein Fertiggericht im Supermarkt, auf dem keine Zutatenliste steht. In der Softwareentwicklung war das jahrelang der Standard: Wir laden Container–Images aus dem Netz und vertrauen darauf, dass nur das drin ist, was draufsteht. Doch Vorfälle wie Log4j haben gezeigt: Eine einzige kompromittierte Bibliothek in der Lieferkette kann globale Infrastrukturen lahmlegen.

Im Jahr 2026 ist Supply Chain Security kein “Nice-to-have” mehr. Mit Regularien wie dem EU Cyber Resilience Act (CRA) wird die Transparenz über die Software-Lieferkette zur Pflichtaufgabe für den Mittelstand.

Die Zutatenliste für Software: Die SBOM

Eine Software Bill of Materials (SBOM) ist eine maschinenlesbare Liste aller Komponenten, Bibliotheken und Abhängigkeiten einer Software.

• Der Nutzen: Wenn eine neue Sicherheitslücke (CVE) bekannt wird, müssen Sie nicht mehr raten, ob Sie betroffen sind. Ein kurzer Scan Ihrer SBOMs verrät Ihnen in Sekunden, in welchen Ihrer Container–Images die verwundbare Bibliothek steckt.
• Die Automatisierung: Tools wie Syft oder Trivy erstellen diese Listen heute vollautomatisch während des Build-Prozesses in der CI/CD-Pipeline (z. B. GitLab CI oder GitHub Actions).

Vertrauen durch digitale Unterschriften: Sigstore und Cosign

Eine SBOM allein reicht nicht aus, wenn ein Angreifer das Image auf dem Weg zum Cluster unbemerkt austauschen kann. Wir müssen sicherstellen, dass nur der Code ausgeführt wird, den wir auch selbst geprüft haben. Hier kommt Sigstore ins Spiel.

Mit dem Tool Cosign signieren wir Container–Images digital.

1. Signieren: Nach dem Build und dem erfolgreichen Security-Scan signiert die CI-Pipeline das Image.
2. Verifizieren: Ein Admission Controller im Kubernetes-Cluster (wie Kyverno oder Policy Reporter) prüft vor jedem Deployment die Signatur.
3. Die Regel: “Keine Signatur, kein Deployment.” Ein unsigniertes Image wird vom Cluster kategorisch abgelehnt – selbst wenn ein Angreifer Zugriff auf Ihre Registry hätte.

Transparenz über den gesamten Lebenszyklus

Echte Supply Chain Security endet nicht beim Deployment. Sie ist ein kontinuierlicher Kreislauf:

• Vulnerability Scanning: Images in der Registry müssen permanent auf neue Lücken gescannt werden.
• Attestations: Neben der Signatur können wir “Attestations” speichern – Nachweise darüber, dass z. B. die Unit-Tests bestanden wurden oder ein Code-Review stattgefunden hat.
• Provenance: Mit Frameworks wie SLSA (Supply-chain Levels for Software Artifacts) dokumentieren wir die Herkunft jedes Bits.

Fazit: Sicherheit beginnt vor dem Cluster

Kubernetes abzusichern bedeutet heute, die gesamte Pipeline abzusichern. Wer heute in SBOMs und Signatur-Workflows investiert, schützt sich nicht nur vor Angriffen, sondern erfüllt auch die Compliance-Anforderungen von morgen. Sicherheit wird so zum Qualitätsmerkmal Ihrer Software.

Technical FAQ: Supply Chain Security

Was ist das beste Format für eine SBOM? Es gibt zwei Industriestandards: CycloneDX und SPDX. CycloneDX ist oft einfacher für moderne Cloud-Native–Tools zu handhaben, während SPDX tiefergehende rechtliche Lizenzinformationen abdeckt. Die meisten Tools unterstützen heute beide Formate.

Brauchen wir eine eigene Public Key Infrastructure (PKI) für Sigstore? Nicht zwingend. Sigstore bietet mit “Keyless Signing” eine Methode an, bei der Identitäten über OIDC (z. B. GitHub- oder Google-Login) verifiziert werden. Für Unternehmen im Mittelstand ist das oft die wartungsärmste Lösung.

Verlangsamt das Scannen und Signieren die CI/CD-Pipeline? Ein SBOM-Scan dauert meist nur wenige Sekunden. Die Signatur ist fast instantan. Der Zeitaufwand ist minimal im Vergleich zum Sicherheitsgewinn und der Zeitersparnis im Falle eines Audits oder eines Incidents.

Ist Ihre Software-Lieferkette lückenlos dokumentiert? Transparenz ist der beste Schutz gegen moderne Cyber-Angriffe. Wir bei ayedo unterstützen Sie dabei, automatisierte Sicherheits-Checks und Signatur-Workflows in Ihre Pipelines zu integrieren. Machen Sie Ihre Software-Supply-Chain sicher für die Zukunft.