SBOM — IT-Definition
Software Bill of Materials: detailliertes und strukturiertes Inventar aller Software-Komponenten, die eine Anwendung bilden, einschließlich ihrer Versionen und Lizenzen.
Ein SBOM (Software Bill of Materials, oder Software-Stückliste) ist ein detailliertes und strukturiertes Inventar aller Software-Komponenten, die eine Anwendung bilden: Open-Source-Bibliotheken, Abhängigkeiten, Versionen, Lizenzen und ihre Beziehungen.
Das SBOM ist ein strategisches Thema geworden mit der Vermehrung der Angriffe auf die Software-Lieferkette (Log4Shell 2021, SolarWinds 2020, xz-utils 2024) und mit dem Inkrafttreten des Cyber Resilience Act europäisch (2025-2027) und DORA / NIS2.
Warum das SBOM zählt
Eine moderne Anwendung beruht typischerweise auf Hunderten bis Tausenden von Open-Source-Komponenten. Ohne SBOM:
- •Wenn eine Schwachstelle wie Log4Shell angekündigt wird, ist es unmöglich, schnell zu wissen, welche Anwendungen betroffen sind.
- •Bei einem Konformitäts-Audit unmöglich zu beweisen, dass man die Open-Source-Lizenzen einhält.
- •Bei einem Supply Chain-Angriff unmöglich, die Kontamination schnell zu erkennen.
SBOM-Standards
- •CycloneDX: (OWASP, 2017).
- •SPDX: (Linux Foundation, 2010, Norm ISO/IEC 5962:2021).
- •SWID Tags: (ISO/IEC 19770-2).
Inhalt eines SBOM
- •Komponenten: Name, Version, Lieferant, Hash.
- •Beziehungen: .
- •Lizenzen: SPDX-ID.
- •Bekannte Schwachstellen: CVE.
- •Metadaten: .
SBOM und CRA (Cyber Resilience Act)
Der Cyber Resilience Act verlangt von den Herstellern:
- •Produktion eines aktualisierten SBOM für jedes auf dem europäischen Markt platzierte Produkt.
- •Veröffentlichung der identifizierten Schwachstellen innerhalb von 24 Stunden.
- •Kostenlose Patches mindestens 5 Jahre lang.
SBOM und VEX
Das VEX (Vulnerability Exploitability eXchange) ergänzt das SBOM.
Wie man ein SBOM produziert
- •CI/CD integriert: Syft, CycloneDX CLI, Microsoft sbom-tool.
- •Container-Image-Scan: Trivy, Grype, Snyk.
- •Binär-Scan: Anchore, Black Duck.
- •Governance-Plattformen: Sonatype, JFrog Xray, Mend, Snyk.
SBOM und Anwendungskartografie
Das SBOM ist auf der Skala einer Anwendung. Die Anwendungskartografie ist auf der Skala des SI. Kabeen aggregiert automatisch die SBOMs aller bekannten Anwendungen.
Häufig gestellte Fragen
Was ist ein SBOM?
+
Ein SBOM (Software Bill of Materials) ist das detaillierte und strukturierte Inventar aller Software-Komponenten, die eine Anwendung bilden: Open-Source-Bibliotheken, Abhängigkeiten, Versionen, Lizenzen und ihre Beziehungen. Es ist das Software-Äquivalent einer industriellen Stückliste. Ohne SBOM unmöglich, schnell zu wissen, welche Anwendungen betroffen sind, wenn eine Schwachstelle wie Log4Shell angekündigt wird.
Was sind die SBOM-Standards?
+
Drei Standards koexistieren: CycloneDX (OWASP, 2017, JSON/XML-Format, sicherheitsorientiert), SPDX (Linux Foundation, 2010, Norm ISO/IEC 5962:2021, Akzent auf den Lizenzen), und SWID Tags (ISO/IEC 19770-2, XML-Format, ITAM-orientiert). CycloneDX und SPDX werden am häufigsten verwendet.
Ist das SBOM obligatorisch?
+
Ja in mehreren Fällen: der europäische Cyber Resilience Act (in Anwendung 2025-2027) verlangt ein aktualisiertes SBOM für jedes Produkt mit digitalen Komponenten, das auf dem europäischen Markt platziert wird. DORA und NIS2 verlangen eine Nachvollziehbarkeit der Software-Komponenten. In den USA verlangt die Executive Order 14028 (2021) ein SBOM für jeden Lieferanten der Bundesregierung.
Unterschied zwischen SBOM und VEX?
+
Das SBOM sagt, was in einer Anwendung enthalten ist («meine App enthält log4j 2.14»). Das VEX (Vulnerability Exploitability eXchange) sagt, ob eine bekannte Schwachstelle im Nutzungskontext tatsächlich ausnutzbar ist («nein, weil die anfällige Funktion nie aufgerufen wird»). VEX ermöglicht es, Panik zu vermeiden.
Alle Begriffe
5R-Methode
Eine Strategie bei der Anwendungsrationalisierung zur Bestimmung des besten Ansatzes für das Anwendungsmanagement.
8R-Methode
Eine erweiterte Version der 5R-Methode für Application Portfolio Management und Migrationsstrategien.
Anwendung
Ein Computerprogramm oder eine Reihe von Programmen zur Rationalisierung von Geschäftsabläufen.
Architektur
Bezieht sich auf die Struktur und das Verhalten von IT-Systemen, Prozessen und Infrastruktur innerhalb einer Organisation.
Brauchen Sie Hilfe bei der Kartierung Ihrer IT-Landschaft?
Kabeen hilft Ihnen, Ihr Anwendungsportfolio zu inventarisieren, zu analysieren und zu optimieren.