SBOM erklärt

Was ist ein SBOM?

Ein SBOM (Software Bill of Materials) ist die vollständige Zutatenliste Ihrer Software. Jede Bibliothek, jede Abhängigkeit, jede Version. Maschinenlesbar, automatisiert, nachvollziehbar.

Analogie

Die Zutatenliste für Software

🍳

Lebensmittel

Jedes Lebensmittel trägt eine Zutatenliste. Verbraucher wissen, was sie konsumieren. Bei Allergenen oder Rückrufen ist die Herkunft nachvollziehbar.

💻

Software

Ein SBOM macht dasselbe für Software. Jede Bibliothek, jedes Framework und jede Abhängigkeit werden mit Name, Version und Lizenz dokumentiert.

Warum SBOMs?

Log4Shell hat es gezeigt

Im Dezember 2021 wurde Log4Shell bekannt. Eine kritische Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j. Die Frage, die jeder CISO sofort beantworten musste:

„Sind wir betroffen? Wo genau steckt Log4j in unseren Systemen?“

Unternehmen mit SBOMs konnten die Frage in Minuten beantworten. Unternehmen ohne SBOMs brauchten Tage bis Wochen, wenn überhaupt.

Seitdem ist klar: Ohne vollständige Sichtbarkeit über die eigene Software-Lieferkette ist keine vernünftige Reaktion auf Schwachstellen möglich.

Inhalt

Was steht in einem SBOM?

Komponenten

Name, Version, Hersteller und Typ jeder Software-Komponente. Direkte und transitive Abhängigkeiten.

Lizenzen

Lizenztyp jeder Komponente (MIT, Apache, GPL, etc.). Basis für Lizenz-Compliance und Legal Review.

Komponenten-Beziehungen

Wie hängen die Bausteine zusammen? Welche Bibliothek bindet welche andere ein? Wie tief reicht der Baum transitiver Einbindungen?

Herkunft

Package URL (PURL), Repository-URL, Download-Quelle. Nachvollziehbar, woher jede Komponente stammt.

Hashes

Kryptografische Prüfsummen (SHA-256). Integritätsnachweis: Wurde die Komponente verändert?

Metadaten

Erstellungszeitpunkt, Tool, Autor. Wann wurde das SBOM generiert? Mit welchem Werkzeug?

Formate

SBOM-Standards

CycloneDX

OWASP-Standard. JSON- und XML-basiert. Fokus auf Security: Vulnerability-Referenzen, Lizenz-Ausdrücke, Dependency Graph. Empfohlen vom BSI (TR-03183).

OWASP BSI-empfohlen

SPDX

Linux-Foundation-Standard. ISO/IEC 5962:2021. Stärker auf Lizenz-Compliance ausgerichtet. Breitere Adoption in der Open-Source-Community.

ISO-Standard Linux Foundation

Tooling

SBOM-Werkzeuge im Überblick

Bewährte Open-Source-Tools aus der CNCF- und OpenSSF-Community.

🔍

Syft

SBOM-Generierung aus Container-Images, Filesystemen und Repositories

📊

DependencyTrack

SBOM-Management-Plattform mit kontinuierlichem Vulnerability-Monitoring

🛡️

Grype

Vulnerability Scanner, der SBOM-Inhalte gegen CVE-Datenbanken abgleicht

Compliance

SBOM-Pflicht durch Regulierung

In Kraft

NIS2

Fordert Lieferketten-Sicherheit. SBOMs sind die technische Grundlage, um Abhängigkeiten zu dokumentieren und Schwachstellen zu identifizieren.

SBOM-Pflicht ab 2027

Cyber Resilience Act

Ab Dezember 2027 müssen Hersteller für Produkte mit digitalen Elementen eine maschinenlesbare SBOM bereitstellen.

BSI-Standard

BSI TR-03183

Die technische Richtlinie des BSI definiert konkret, wie SBOMs aussehen müssen: Format, Mindestinhalte, Aktualisierungsfrequenz.

SBOM-Infrastruktur aufbauen

In 8 Wochen zur produktiven SBOM-Infrastruktur. Open-Source-Tools, keine Vendor-Abhängigkeit, voller Wissenstransfer.

Kostenloses Erstgespräch