SBOM erklärt

Was ist ein SBOM?

Ein SBOM (Software Bill of Materials) ist die vollständige Zutatenliste Ihrer Software — jede Bibliothek, jede Abhängigkeit, jede Version. Maschinenlesbar, automatisiert, nachvollziehbar.

Analogie

Die Zutatenliste für Software

🍳

Lebensmittel

Jedes Lebensmittel trägt eine Zutatenliste. Verbraucher wissen, was sie konsumieren. Bei Allergenen oder Rückrufen ist die Herkunft nachvollziehbar.

💻

Software

Ein SBOM macht dasselbe für Software. Jede Bibliothek, jedes Framework, jede Abhängigkeit — dokumentiert mit Name, Version und Lizenz.

Warum SBOMs?

Log4Shell hat es gezeigt

Im Dezember 2021 wurde Log4Shell bekannt — eine kritische Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j. Die Frage, die jeder CISO sofort beantworten musste:

„Sind wir betroffen? Wo genau steckt Log4j in unseren Systemen?“

Unternehmen mit SBOMs konnten die Frage in Minuten beantworten. Unternehmen ohne SBOMs brauchten Tage bis Wochen — wenn überhaupt.

Seitdem ist klar: Ohne vollständige Sichtbarkeit über die eigene Software-Lieferkette ist keine vernünftige Reaktion auf Schwachstellen möglich.

Inhalt

Was steht in einem SBOM?

Komponenten

Name, Version, Hersteller und Typ jeder Software-Komponente. Direkte und transitive Abhängigkeiten.

Lizenzen

Lizenztyp jeder Komponente (MIT, Apache, GPL, etc.). Basis für Lizenz-Compliance und Legal Review.

Komponenten-Beziehungen

Wie hängen die Bausteine zusammen? Welche Bibliothek bindet welche andere ein? Wie tief reicht der Baum transitiver Einbindungen?

Herkunft

Package URL (PURL), Repository-URL, Download-Quelle. Nachvollziehbar, woher jede Komponente stammt.

Hashes

Kryptografische Prüfsummen (SHA-256). Integritätsnachweis — wurde die Komponente verändert?

Metadaten

Erstellungszeitpunkt, Tool, Autor. Wann wurde das SBOM generiert? Mit welchem Werkzeug?

Formate

SBOM-Standards

CycloneDX

OWASP-Standard. JSON- und XML-basiert. Fokus auf Security: Vulnerability-Referenzen, Lizenz-Ausdrücke, Dependency Graph. Empfohlen vom BSI (TR-03183).

OWASP BSI-empfohlen

SPDX

Linux-Foundation-Standard. ISO/IEC 5962:2021. Stärker auf Lizenz-Compliance ausgerichtet. Breitere Adoption in der Open-Source-Community.

ISO-Standard Linux Foundation

Tooling

SBOM-Werkzeuge im Überblick

Bewährte Open-Source-Tools aus der CNCF- und OpenSSF-Community.

🔍

Syft

SBOM-Generierung aus Container-Images, Filesystemen und Repositories

📊

DependencyTrack

SBOM-Management-Plattform mit kontinuierlichem Vulnerability-Monitoring

🛡️

Grype

Vulnerability Scanner — gleicht SBOM-Inhalte gegen CVE-Datenbanken ab

Compliance

SBOM-Pflicht durch Regulierung

In Kraft

NIS2

Fordert Lieferketten-Sicherheit. SBOMs sind die technische Grundlage, um Abhängigkeiten zu dokumentieren und Schwachstellen zu identifizieren.

SBOM-Pflicht ab 2027

Cyber Resilience Act

Ab Dezember 2027 müssen Hersteller für Produkte mit digitalen Elementen eine maschinenlesbare SBOM bereitstellen.

BSI-Standard

BSI TR-03183

Die technische Richtlinie des BSI definiert konkret, wie SBOMs aussehen müssen: Format, Mindestinhalte, Aktualisierungsfrequenz.

SBOM-Infrastruktur aufbauen

In 8 Wochen zur produktiven SBOM-Infrastruktur. Open-Source-Tools, keine Vendor-Abhängigkeit. Ihr Team betreibt es selbst.

Kostenloses Erstgespräch