Cert2Connect

Wat is een SBOM en waarom jouw organisatie er één nodig heeft.

Je gebruikt elke dag software. Op je telefoon, laptop of in je bedrijfsnetwerk. Maar weet je eigenlijk wat er precies in die software zit?

Een SBOM geeft je daar inzicht in.

Wat is een SBOM?

SBOM staat voor Software Bill of Materials. In het Nederlands: een stuklijst van software.

Vergelijk het met een ingrediëntenlijst op een verpakking. Je ziet meteen wat erin zit. Niet alleen de hoofdcomponenten, maar ook de kleine toevoegingen. Een SBOM doet hetzelfde, maar dan voor softwaretoepassingen.

Het beschrijft:

  • Welke softwarecomponenten er zijn gebruikt
  • Welke versies daarvan zijn toegepast
  • Waar die componenten vandaan komen
  • Of er open source-bibliotheken zijn gebruikt
  • Of er bekende kwetsbaarheden in zitten

Waarom is een SBOM belangrijk voor bedrijven?

Software is belangrijk omdat software tegenwoordig niet meer van nul wordt geschreven. Ontwikkelaars gebruiken allerlei kant-en-klare onderdelen. Die onderdelen komen vaak van externe bronnen. Denk aan GitHub of andere open source-projecten.

Dat is handig. Het versnelt ontwikkeling. Maar het maakt je software ook afhankelijk van de kwaliteit en veiligheid van die externe componenten.

Als daar iets mis mee is, dan is jouw hele toepassing mogelijk kwetsbaar.

Voorbeeld:

  • In 2021 werd er een ernstig lek gevonden in Log4j, een veelgebruikte open source loggingtool.
  • Duizenden organisaties wisten niet eens dat ze Log4j gebruikten.
  • Ze konden dus ook niet beoordelen of ze kwetsbaar waren.

Met een SBOM had je dat direct kunnen zien.

Wat zijn de belangrijkste componenten van een SBOM? 

Een goede SBOM bevat minimaal:

  • Naam van de component
  • Versienummer
  • Leverancier of bron
  • Licentie-informatie
  • Cryptografische hash (voor verificatie)
  • Afhankelijkheden (welke onderdelen hangen samen?)

Sommige SBOM’s gaan verder en vermelden ook:

  • Bekende kwetsbaarheden (CVEs)
  • Patchstatus
  • Relaties tussen modules

Wie gebruikt SBOM’s?

  • Securityteams controleren of er kwetsbare componenten in gebruik zijn: Zo houden ze dreigingen buiten de deur en zorgen ze dat alles veilig blijft draaien.
  • Developers volgen afhankelijkheden en updates: Hierdoor blijven ze in de flow en zorgen ze ervoor dat de software soepel en stabiel werkt.
  • Compliance officers bewaken licentiegebruik: Dit helpt hen om alles netjes volgens de regels te houden en gedoe met boetes te voorkomen.
  • Inkopers beoordelen risico’s van softwareleveranciers: Zo weten ze precies waar ze aan toe zijn en maken ze slimme keuzes bij de aankoop.
  • CISO’s voldoen aan wetgeving zoals NIS2 of Amerikaanse Executive Orders: Hiermee zorgen ze dat het bedrijf aan alle eisen voldoet en problemen zoals boetes of reputatieschade vermeden worden.

Wetgeving en druk vanuit ketens

In de VS is een SBOM al verplicht bij software die aan de overheid wordt geleverd. Ook Europa werkt aan vergelijkbare eisen, bijvoorbeeld via de NIS2-richtlijn.

Grote organisaties vragen ook steeds vaker een SBOM van hun leveranciers. Want als jij een risico vormt, nemen zij dat risico over.

Zonder SBOM kun je dus buiten de boot vallen.

Hoe stel je een SBOM op?

Je kunt handmatig een overzicht maken van je gebruikte componenten, maar dat is traag en foutgevoelig. Gelukkig zijn er betere manieren.

Daarvoor werk je met tooling zoals Checkmarx en Oligo en specialisten die het proces automatiseren.

Versterk vandaag nog je softwarebeveiliging met Cert2Connect 

Cert2Connect helpt je op weg

Cert2Connect helpt organisaties om grip te krijgen op hun software supply chain.
We doen dat samen met betrouwbare partners zoals Checkmarx en Oligo.

Ons team heeft ruime ervaring met het onboarden van applicaties binnen deze oplossingen.
We zorgen ervoor dat je snel en effectief aan de slag kunt, zonder gedoe.
Of het nu gaat om nieuwe applicaties of bestaande software: wij begeleiden het hele proces.

Wat doet Checkmarx?

Checkmarx is gespecialiseerd in AppSec (Application Security).

Hun oplossing analyseert je broncode. Daarbij kijkt Checkmarx naar:

  • De componenten die je gebruikt
  • Waar ze vandaan komen
  • Of ze kwetsbaar zijn
  • Welke afhankelijkheden er zijn

De output is een nauwkeurige SBOM. Volledig automatisch gegenereerd, op basis van je eigen code. Je krijgt direct zicht op risico’s en kwetsbaarheden.

Checkmarx integreert met CI/CD pipelines. Dat betekent: real-time SBOM’s tijdens ontwikkeling. Je ziet meteen wat je toevoegt, en wat dat betekent voor je veiligheid.

Wat doet Oligo?

Oligo kijkt naar je software tijdens het draaien. Niet alleen wat erin zit, maar wat echt gebruikt wordt.

Veel kwetsbaarheden zitten in onderdelen die je helemaal niet aanroept. Die zijn dan veel minder risicovol. Oligo helpt je om ruis weg te filteren. Zo weet je:

  • Welke kwetsbaarheden relevant zijn
  • Welke je kunt negeren
  • Waar je wél op moet patchen

Ook Oligo genereert SBOM’s. Maar dan gebaseerd op runtime-gegevens. Het resultaat is realistischer en minder overweldigend.

Waarom Checkmarx én Oligo?

Ze vullen elkaar aan:

  • Checkmarx geeft je inzicht vanaf de ontwikkelfase.
  • Oligo kijkt naar wat er echt gebeurt in productie.

Samen zorgen ze voor een compleet beeld van je software. Cert2Connect helpt je bij het combineren van die inzichten. Zodat je SBOM geen papieren tijger wordt, maar een werkbaar instrument.

Hoe begin je met het opstellen van een SBOM voor je software supply chain?

Start met zichtbaarheid. Welke software gebruik je? Welke code draai je?

  1. Gebruik tooling. Automatisch is betrouwbaarder dan handmatig.
  2. Integreer SBOM’s in je processen. Laat het geen losse snapshot zijn.
  3. Check kwetsbaarheden. Wacht niet tot een lek op het nieuws staat.
  4. Werk samen met experts. Cert2Connect, Checkmarx en Oligo staan klaar.

Veelgemaakte fouten en misverstanden over SBOM in softwarebeveiliging

"Ik heb geen open source, dus ik heb geen SBOM nodig."
Vrijwel alle software gebruikt open source. Soms zonder dat je het weet. Denk aan frameworks of dependencies van dependencies.

"SBOM’s zijn alleen voor grote bedrijven."
Ook kleinere organisaties hebben baat bij overzicht en veiligheid. Bovendien eisen klanten en partners het steeds vaker.

"Het is te complex."
Niet als je goede begeleiding en tooling hebt. Je hoeft het niet zelf uit te zoeken.

"Ik gebruik al een vulnerability scanner, dat is genoeg."
Zonder SBOM zie je niet wat je allemaal in huis hebt. Dan mis je de context. En dus het volledige risico.

Concreet voorbeeld: webapplicatie

Stel, je ontwikkelt een webportaal voor klanten.

Je gebruikt:

  • React als frontend-framework
  • Express.js als backend
  • MongoDB als database
  • Verschillende npm-pakketten

Je gaat ervan uit dat alles goed zit, totdat blijkt dat één npm-pakket een ernstig lek bevat. Je weet niet eens of dat pakket in jouw software zit. Laat staan welke versie.

Je denkt dat het wel goed zit, tot blijkt dat één npm-pakket in je software een ernstig lek bevat — en je hebt geen idee of het erin zit, laat staan welke versie.

Zonder inzicht in gebruikte softwarecomponenten loop je grote risico’s.
Je kunt niet snel reageren, je voldoet niet aan compliance-eisen en je stelt je organisatie bloot aan aanvallen.

Een SBOM (Software Bill of Materials) geeft je precies dat inzicht.
Je ziet in één oogopslag welke pakketten je gebruikt, welke versies actief zijn en waar kwetsbaarheden zitten

  • Dat het pakket aanwezig is
  • Welke versie je gebruikt
  • Of die kwetsbaar is
  • Of je het pakket actief aanroept (dankzij Oligo)
  • Welke alternatieven je hebt

Dat scheelt tijd, stress en schade.

Voordelen van een SBOM voor jouw organisatie: meer grip, minder risico

Een Software Bill of Materials (SBOM) biedt directe voordelen voor elke organisatie die software ontwikkelt, beheert of gebruikt:

  • Volledig overzicht van alle softwarecomponenten
  • Snelle detectie van kwetsbare of verouderde pakketten
  • Efficiënt patchbeheer en risico-inschatting
  • Voldoen aan wet- en regelgeving zoals NIS2, DORA en ISO 27001
  • Snellere incidentrespons en minder schade bij een aanval

Met een SBOM weet je exact welke open source libraries je gebruikt, welke versies draaien en waar kwetsbaarheden zitten.
Dat bespaart je kostbare tijd en voorkomt dat je achter de feiten aanloopt.

Tot slot: zo begin je vandaag nog met een SBOM

Je hoeft het niet perfect te doen. Begin met één toepassing. Kies één tool. Vraag hulp waar nodig.

SBOM’s zijn geen doelen op zich. Ze zijn een middel. Om controle te houden. Om veiliger te werken. En om niet verrast te worden door kwetsbaarheden die je had kunnen zien aankomen.
 

Veelgestelde vragen - FAQ

Wat is een SBOM?
Een SBOM (Software Bill of Materials) is een overzicht van alle softwarecomponenten en afhankelijkheden in een applicatie. Denk aan open source libraries, versies en leveranciers.

Waarom heb je een SBOM nodig?
Zonder SBOM weet je niet welke componenten in jouw software zitten. Bij een kwetsbaarheid in bijvoorbeeld een npm-pakket kun je niet direct inschatten of je risico loopt. Een SBOM geeft dat inzicht wel.

Wat zijn de voordelen van een SBOM voor mijn organisatie?

  • Volledige zichtbaarheid in je software supply chain
  • Snelle detectie van kwetsbare of verouderde libraries
  • Efficiënt beheer van updates en patches
  • Snellere incidentrespons bij cyberaanvallen
  • Ondersteuning voor compliance met NIS2, ISO 27001 en andere standaarden

Voor wie is een SBOM belangrijk?
Voor elke organisatie die zelf software ontwikkelt, integreert of gebruikt. Zowel ontwikkelteams, security officers als compliance-medewerkers profiteren van beter overzicht en minder risico.

Hoe begin je met het opstellen van een SBOM?
Gebruik tooling van betrouwbare partijen zoals Checkmarx of Oligo. Of werk samen met een partner die ervaring heeft met het onboarden van applicaties binnen deze oplossingen, zoals Cert2Connect.

Wat is de impact van een SBOM in je organisatie?

Minder risico’s, snellere actie bij kwetsbaarheden en betere naleving van wetgeving. Een SBOM helpt je vooruit in softwarebeveiliging en compliance.

Conclusie: waarom jouw organisatie vandaag nog met SBOM’s moet starten

De softwareketen wordt steeds complexer, en de risico’s nemen toe.
Zonder SBOM heb je geen duidelijk overzicht van wat er in je software zit.
Dat maakt je kwetsbaar, traag in je reactie en onvoorbereid op wetgeving zoals NIS2.

Met een goed opgestelde SBOM:

  • Voorkom je verrassingen
  • Reageer je sneller op incidenten
  • Voldoe je aan de eisen van klanten, partners en toezichthouders
  • Beveilig je de software die jouw organisatie draaiende houdt

SBOM’s zijn geen hype. Ze zijn noodzaak. En eenvoudiger dan je denkt.

Klaar om te starten?

Wil je hulp bij het kiezen van tooling of het opstellen van je eerste SBOM?
Cert2Connect helpt je met directe inzichten, de juiste tools en ervaren begeleiding.

Neem contact met ons op en versterk vandaag nog je softwarebeveiliging.

Cert2Connect
Overview

WILT U WETEN HOE DIT RISICO
UITGEBANNEN KAN WORDEN?

Wij helpen je graag. Indien gewenst geven we graag een presentatie of demo van onze oplossingsaanpak. Je vindt ons ook regelmatig op beurzen en events. Volg de evenementenpagina op deze site of meld je aan via de contactpagina voor onze nieuwsbrief.

Maak een afspraak