Compliance-Lexikon · CRA
SBOM-Pflege
auch: SBOM Maintenance, kontinuierliche SBOM-Aktualisierung
SBOM-Pflege bezeichnet den kontinuierlichen Prozess der Aktualisierung einer Software Bill of Materials bei jedem Release - im Gegensatz zur einmaligen Erstellung - als notwendige Ergaenzung zur CRA-Pflicht, da ein veraltetes SBOM seinen Sicherheitswert verliert.
Warum ein einmalig erstelltes SBOM nicht ausreicht
Ein SBOM, das bei der ersten Produktveroeffentlichung erstellt und danach nie wieder aktualisiert wird, verliert innerhalb weniger Monate seinen Sicherheitswert: Neue Abhaengigkeiten kommen hinzu, alte werden entfernt, Versionen werden aktualisiert. Der CRA verlangt deshalb nicht nur die einmalige Erstellung, sondern die kontinuierliche Pflege des SBOM ueber den gesamten Produktlebenszyklus - einschliesslich der gesetzlich vorgeschriebenen mindestens fuenfjaehrigen Update-Phase.
Wo SBOM-Pflege gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| CRA | Art. 13 Abs. 16 | Pflicht zur kontinuierlichen Pflege des SBOM ueber den gesamten Produktlebenszyklus. |
| CRA | Art. 11 | Aktualisiertes SBOM als Voraussetzung fuer korrekte Schwachstellenmeldungen an ENISA. |
| NIST | SBOM Lifecycle | Leitlinien zur fortlaufenden Pflege von SBOMs ueber Versions- und Release-Zyklen. |
| OWASP CycloneDX | vollstaendig | Versionierungsfaehiges SBOM-Format mit Unterstuetzung fuer kontinuierliche Updates. |
| CRA | Art. 13 Abs. 8 | Verpflichtung zur Bereitstellung von Sicherheitsupdates ueber mindestens fuenf Jahre, inkl. SBOM-Aktualisierung. |
BAM-Objektreferenz
Haeufige Fehler
- SBOM nur bei Major-Releases aktualisiert, nicht bei Patches und Minor-Updates
- Kein automatisierter Trigger fuer SBOM-Aktualisierung im Release-Prozess
- Historische SBOM-Versionen nicht archiviert - keine Nachvollziehbarkeit ueber Zeit
- SBOM-Pflege endet mit dem letzten aktiven Entwicklungszyklus, nicht mit dem Support-Ende
Automatisierte SBOM-Pflege in der Praxis
Eine nachhaltige SBOM-Pflege integriert die Generierung direkt in die CI/CD-Pipeline: Bei jedem Build wird automatisch ein neues SBOM erzeugt, versioniert und mit dem entsprechenden Produkt-Release verknuepft. Aelteres SBOMs bleiben archiviert, um bei spaeter entdeckten Schwachstellen feststellen zu koennen, welche historischen Produktversionen betroffen waren. Diese Versionshistorie ist insbesondere fuer die CRA-Pflicht zur fuenfjaehrigen Sicherheitsupdate-Versorgung relevant.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur SBOM-Pflegeprozess-Bereitschaft.