Software Bill of Materials (SBOM)
Was ist Software Bill of Materials (SBOM)?
Software Bill of Materials (SBOM)Formales, maschinenlesbares Verzeichnis der Komponenten, Bibliotheken und Abhängigkeiten einer Software einschließlich ihrer Versionen und Beziehungen.
Ein SBOM ist für Software, was die Zutatenliste für ein verpacktes Lebensmittel ist. Es führt Open-Source- und proprietäre Komponenten, transitive Abhängigkeiten, Versionen, Lieferanten, Lizenzen und häufig kryptografische Hashes auf. Gängige Standards sind CycloneDX, SPDX und SWID. SBOMs ermöglichen Schwachstellenmanagement (Zuordnung von CVEs und KEVs zu betriebener Software), Lizenz-Compliance, Incident Response (Frage "Sind wir von Log4Shell betroffen?") und Beschaffungsprüfung. Aufsichten fordern SBOMs zunehmend - etwa US-Executive Order 14028, der EU Cyber Resilience Act und ENISA-Vorgaben - für Software an Regierungs- oder kritische Branchenbeschaffer. Moderne Programme erzeugen SBOMs automatisch in CI/CD und signieren bzw. attestieren sie zusammen mit den Builds.
● Beispiele
- 01
CycloneDX-SBOM, der bei jedem Build erzeugt und in eine Dependency-Track-Instanz geladen wird.
- 02
SBOM-Austauschklausel in einem Beschaffungsvertrag für eine regulierte SaaS-Plattform.
● Häufige Fragen
Was ist Software Bill of Materials (SBOM)?
Formales, maschinenlesbares Verzeichnis der Komponenten, Bibliotheken und Abhängigkeiten einer Software einschließlich ihrer Versionen und Beziehungen. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Software Bill of Materials (SBOM)?
Formales, maschinenlesbares Verzeichnis der Komponenten, Bibliotheken und Abhängigkeiten einer Software einschließlich ihrer Versionen und Beziehungen.
Wie funktioniert Software Bill of Materials (SBOM)?
Ein SBOM ist für Software, was die Zutatenliste für ein verpacktes Lebensmittel ist. Es führt Open-Source- und proprietäre Komponenten, transitive Abhängigkeiten, Versionen, Lieferanten, Lizenzen und häufig kryptografische Hashes auf. Gängige Standards sind CycloneDX, SPDX und SWID. SBOMs ermöglichen Schwachstellenmanagement (Zuordnung von CVEs und KEVs zu betriebener Software), Lizenz-Compliance, Incident Response (Frage "Sind wir von Log4Shell betroffen?") und Beschaffungsprüfung. Aufsichten fordern SBOMs zunehmend - etwa US-Executive Order 14028, der EU Cyber Resilience Act und ENISA-Vorgaben - für Software an Regierungs- oder kritische Branchenbeschaffer. Moderne Programme erzeugen SBOMs automatisch in CI/CD und signieren bzw. attestieren sie zusammen mit den Builds.
Wie schützt man sich gegen Software Bill of Materials (SBOM)?
Schutzmaßnahmen gegen Software Bill of Materials (SBOM) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Software Bill of Materials (SBOM)?
Übliche alternative Bezeichnungen: SBOM, Software-Stückliste.
● Verwandte Begriffe
- appsec№ 1069
Software-Supply-Chain-Sicherheit
Disziplin zum Schutz jedes Glieds der Software-Produktion - Quellcode, Abhängigkeiten, Build, Signatur, Distribution und Deployment - gegen Manipulation, bösartigen Code und Integritätsverlust.
- appsec№ 245
Cryptographic Bill of Materials (CBOM)
Verzeichnis aller von Software oder Systemen verwendeten kryptografischen Assets - Algorithmen, Schlüssellängen, Zertifikate, Bibliotheken und Protokolle - zur Unterstützung von Kryptoagilität und Post-Quantum-Bereitschaft.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts: ein vom OpenSSF veröffentlichter stufenweiser Anforderungskatalog, der Erstellung, Signatur und Verifikation von Software gegen Lieferketten-Manipulation zunehmend härtet.
- appsec№ 870
Provenance-Attestation
Signierte, maschinell verifizierbare Aussage darüber, wie ein Software-Artefakt entstanden ist - Quelle, Build-System, Parameter und Abhängigkeiten - damit Konsumenten dem Ursprung vertrauen können.
- appsec№ 971
SCA (Software Composition Analysis)
Automatisierte Analyse der Open-Source- und Drittanbieterkomponenten einer Anwendung, um bekannte Schwachstellen, Lizenzprobleme und veraltete oder riskante Abhängigkeiten zu erkennen.
- attacks№ 1116
Supply-Chain-Angriff
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
● Siehe auch
- № 025AI Bill of Materials (AIBOM)
- № 522in-toto