SBOM

Warum SBOM von der Nische zur Pflichtanforderung wurde

Log4Shell hat gezeigt, wie schwer es ohne SBOM ist, betroffene Systeme zu identifizieren: Organisationen wussten teilweise wochenlang nicht, ob und wo die verwundbare Log4j-Bibliothek in ihrer Software-Landschaft eingesetzt wurde. Der CRA macht SBOM deshalb zur expliziten Pflichtanforderung fuer Hersteller von Produkten mit digitalen Elementen - mit dem Ziel, Schwachstellen in der Software-Lieferkette schneller zu identifizieren und zu beheben.

Wo SBOM gefordert wird

Framework	Referenz	Anforderung
CRA	Art. 13 Abs. 16	Pflicht zur Erstellung und Pflege eines SBOM fuer Produkte mit digitalen Elementen.
CRA	Anhang I	Technische Dokumentationsanforderungen mit SBOM als zentralem Bestandteil.
NIST	SBOM Minimum Elements	US-Standard mit Mindestanforderungen an SBOM-Inhalt und -Format.
SPDX / CycloneDX	vollstaendig	Etablierte offene SBOM-Formate fuer maschinenlesbare Komponentenlisten.
Executive Order 14028	vollstaendig	US-Vorreiterregelung mit SBOM-Pflicht fuer Software an Bundesbehoerden.

BAM-Objektreferenz

Haeufige Fehler

• Kein automatisierter SBOM-Generierungsprozess - manuelle Listen schnell veraltet
• SBOM nicht bei jedem Release aktualisiert
• Format nicht maschinenlesbar oder nicht mit Industriestandards (SPDX, CycloneDX) kompatibel
• Transitive Abhaengigkeiten (Abhaengigkeiten der Abhaengigkeiten) nicht vollstaendig erfasst

SBOM-Generierung in der Praxis

Moderne CI/CD-Pipelines integrieren SBOM-Generierungstools (z.B. Syft, CycloneDX-Plugins), die bei jedem Build automatisch eine vollstaendige Komponentenliste erstellen - einschliesslich Versionsnummern, Lizenzen und bekannter Schwachstellen. Diese Automatisierung ist die einzige praktikable Methode, ein SBOM aktuell zu halten, da manuelle Pflege bei komplexen Softwareprojekten mit hunderten Abhaengigkeiten nicht skaliert.

Verwandte Begriffe