Software Bill of Materials (SBOM): Pflicht ab 2026

Was ist eine Software Bill of Materials?

Eine **Software Bill of Materials (SBOM)** ist eine maschinenlesbare Auflistung aller Komponenten, die in einer Software enthalten sind. Vergleichbar mit der **Zutatenliste** auf einer Lebensmittelverpackung – aber für Software.

Was enthält eine SBOM?

•Name und Version: jeder Softwarekomponente

•Lieferant/Hersteller: der Komponente

•Lizenzen: (MIT, Apache, GPL etc.)

•Abhängigkeiten: zwischen den Komponenten

•Kryptografische Hashes: zur Verifizierung der Integrität

**Fakt:** Eine durchschnittliche moderne Webanwendung besteht zu **70–90 % aus Open-Source-Komponenten**. Ohne SBOM haben Sie keine Transparenz darüber, was in Ihrer Software steckt.

Warum wird die SBOM Pflicht?

Regulatorische Treiber

•Cyber Resilience Act (EU):: Fordert eine SBOM für alle digitalen Produkte auf dem EU-Markt

•NIS-2-Richtlinie:: Betreiber kritischer Infrastruktur müssen Software-Lieferketten absichern

•US Executive Order 14028:: Auch die USA fordern SBOMs für Software im Regierungsumfeld

Der Auslöser: Log4Shell

Die **Log4Shell-Schwachstelle** (Dezember 2021) hat gezeigt, was passiert, wenn Unternehmen nicht wissen, welche Bibliotheken sie verwenden. Tausende Organisationen brauchten Wochen, um herauszufinden, ob sie betroffen waren. Mit einer SBOM wäre diese Frage in **Minuten** beantwortet gewesen.

SBOM-Formate

SPDX (Software Package Data Exchange)

•Von der **Linux Foundation** entwickelt

•ISO-Standard (ISO/IEC 5962:2021)

•Weit verbreitet in der Open-Source-Welt

CycloneDX

•Von **OWASP** entwickelt

•Fokus auf Security und Vulnerability Tracking

•Besonders gut für DevSecOps-Workflows geeignet

Beide Formate sind als **JSON und XML** verfügbar und werden von den gängigen Tools unterstützt.

SBOM in der Praxis erzeugen

Automatisierte Generierung

Eine SBOM sollte **automatisch in der CI/CD-Pipeline** erzeugt werden:

•Syft: (Open Source): Generiert SBOMs aus Container-Images und Dateisystemen

•Trivy: (Open Source): Kombiniert SBOM-Generierung mit Vulnerability-Scanning

•Snyk: (Kommerziell): Integriertes SBOM- und Sicherheitsmanagement

Integration in den Entwicklungsprozess

1. **Bei jedem Build** wird automatisch eine SBOM generiert

2. **Vulnerability-Scan** prüft die SBOM gegen bekannte Schwachstellen-Datenbanken

3. **Lizenz-Compliance-Check** stellt sicher, dass keine inkompatiblen Lizenzen verwendet werden

4. **SBOM wird archiviert** und kann bei Bedarf an Kunden oder Behörden weitergegeben werden

Häufige Fragen

Muss ich die SBOM veröffentlichen?

Nicht zwingend. Der CRA verlangt, dass die SBOM **auf Anfrage** bereitgestellt werden kann. Eine proaktive Veröffentlichung ist ein Zeichen von Transparenz und Vertrauenswürdigkeit.

Was ist mit transitivem Abhängigkeiten?

Ja, auch **indirekte Abhängigkeiten** (Abhängigkeiten Ihrer Abhängigkeiten) müssen erfasst werden. Moderne SBOM-Tools tun dies automatisch.

Wie oft muss die SBOM aktualisiert werden?

Bei **jedem neuen Release** Ihrer Software. Idealerweise wird die SBOM automatisch bei jedem Build erzeugt.

Fazit

Die SBOM ist keine bürokratische Hürde, sondern ein wertvolles Werkzeug für **Transparenz, Sicherheit und Compliance**. Unternehmen, die heute in einen automatisierten SBOM-Prozess investieren, sind für die regulatorischen Anforderungen ab 2026 bestens gerüstet.