{"id":15448,"date":"2026-01-12T03:52:16","date_gmt":"2026-01-12T03:52:16","guid":{"rendered":"https:\/\/newestek.com\/?p=15448"},"modified":"2026-01-12T03:52:16","modified_gmt":"2026-01-12T03:52:16","slug":"sbom-erklart-was-ist-eine-software-bill-of-materials","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=15448","title":{"rendered":"SBOM erkl\u00e4rt: Was ist eine Software Bill of Materials?"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage\">\n<figure class=\"wp-block-image size-large\"><figcaption class=\"wp-element-caption\">\n<p class=\"foundryImageCaption\">Softwareentwicklung und Autoproduktion haben mehr gemein, als man denkt. Lesen Sie, was Sie zum Thema Software Bill of Materials (SBOM) wissen sollten. <\/p>\n<\/figcaption><\/figure>\n<p class=\"imageCredit\"> Foto: Ju1978 \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Eine <a href=\"https:\/\/www.computerwoche.de\/article\/2814611\/microsoft-baut-open-source-tool-fuer-sichere-softwareentwicklung.html\" title=\"Software Bill of Materials\" target=\"_blank\">Software Bill of Materials<\/a> ist ein detaillierter Leitfaden, der unter anderem Aufschluss \u00fcber die Komponenten Ihrer Software gibt. Als eine Art St\u00fcckliste hilft eine SBOM Anbietern und K\u00e4ufern gleicherma\u00dfen, den \u00dcberblick \u00fcber die Komponenten zu behalten und die Sicherheit der Softwarelieferkette zu verbessern.<\/p>\n<h1 class=\"wp-block-heading\" id=\"sbom-definition\">SBOM \u2013 Definition<\/h1>\n<p>Eine Software <a href=\"https:\/\/en.wikipedia.org\/wiki\/Bill_of_materials\" title=\"Bill of Materials\" target=\"_blank\" rel=\"noopener\">Bill of Materials<\/a> ist eine formale, strukturierte Aufzeichnung, die die<\/p>\n<ul class=\"wp-block-list\">\n<li>\n<p>Komponenten eines Softwareprodukts und<\/p>\n<\/li>\n<li>\n<p>ihre Beziehungen innerhalb der Softwarelieferkette<\/p>\n<\/li>\n<\/ul>\n<p>beschreibt. Eine SBOM gibt also einerseits an, welche Pakete und Bibliotheken in Ihre Anwendung eingeflossen sind, andererseits auch die Beziehung zwischen diesen Paketen und Bibliotheken und anderen vorgelagerten Projekten. Das ist besonders wichtig ist, wenn es um wiederverwendeten Code und Open-Source-Komponenten geht.<\/p>\n<p>Sie kennen St\u00fccklisten vielleicht im Zusammenhang mit Neuwagen. In diesem Fall handelt es sich um ein Dokument, das jede Komponente, die sich in Ihrem neuen Fahrzeug befindet, detailliert beschreibt. Auch wenn Ihr Auto von Toyota oder General Motors zusammengebaut wurde: Viele seiner Komponenten stammen von Subunternehmern auf der ganzen Welt. Die St\u00fcckliste gibt Aufschluss dar\u00fcber, woher jedes einzelne dieser Teile stammt. Das dient nicht nur der Transparenz, sondern auch der Sicherheit: Wird eine bestimmte Serie von Airbags zur\u00fcckgerufen, m\u00fcssen die Fahrzeughersteller schnell herausfinden k\u00f6nnen, wo diese verbaut sind.<\/p>\n<p>Da <a href=\"https:\/\/www.csoonline.com\/article\/3492659\/datenlecks-finden-so-verhindern-sie-repository-leaks.html\" title=\"Open-Source-Bibliotheken\" target=\"_blank\">Open-Source-Bibliotheken<\/a> von Drittanbietern sich jedoch zunehmender Beliebtheit erfreuen, um containerisierte, verteilte Applikationen zu erstellen, weisen Softwareentwicklung und Fahrzeugfertigung inzwischen mehr Gemeinsamkeiten auf, als man denkt. Sowohl Entwickler als auch Benutzer k\u00f6nnen eine Software Bill of Materials verwenden, um nachzuvollziehen, welche Bestandteile in die Software eingeflossen sind, wie sie verteilt und verwendet wurden. Das erlaubt \u2013 insbesondere aus Sicherheitsperspektive \u2013 eine Reihe wichtiger R\u00fcckschl\u00fcsse.<\/p>\n<h1 class=\"wp-block-heading\" id=\"software-bill-of-materials-vorteile\">Software Bill of Materials \u2013 Vorteile<\/h1>\n<p>Die Zeiten monolithischer, propriet\u00e4rer Codebasen sind l\u00e4ngst vorbei. Moderne Anwendungen basieren oft auf in gro\u00dfen Teilen wiederverwendetem Code \u2013 h\u00e4ufig mit Beteiligung von Open-Source-Bibliotheken. Diese Anwendungen werden auch zunehmend in kleinere, in sich geschlossene Funktionskomponenten, so genannte <a href=\"https:\/\/www.csoonline.com\/article\/3493670\/container-schwachstellen-erkennen-tipps-und-tools-fur-eine-sichere-containernutzung.html\" title=\"Container\" target=\"_blank\">Container<\/a>, aufgeteilt, die \u00fcber Orchestrierungsplattformen wie <a href=\"https:\/\/www.csoonline.com\/article\/3492006\/kubernetes-security-wie-sie-ihre-cluster-besser-absichern.html\" title=\"Kubernetes\" target=\"_blank\">Kubernetes<\/a> gemanagt und lokal oder in der Cloud ausgef\u00fchrt werden.<\/p>\n<p>Im Gro\u00dfen und Ganzen waren diese Ver\u00e4nderungen ein Segen f\u00fcr die Softwareentwicklung und haben dazu beigetragen, die Entwicklerproduktivit\u00e4t zu erh\u00f6hen und Kosten zu senken. Aus Security-Perspektive sieht das Bild <a href=\"https:\/\/www.csoonline.com\/article\/3491662\/softwarelieferkette-absicherndevops-pipelines-in-gefahr.html\" title=\"nicht ganz so rosig aus\" target=\"_blank\">nicht ganz so rosig aus<\/a>: Indem sie sich in hohem Ma\u00dfe auf den Code von Drittanbietern verlassen, (deren interne Prozesse sie m\u00f6glicherweise nicht oder nur teilweise kennen), haben Entwickler eine Lieferkette von Softwarekomponenten geschaffen, die genauso komplex ist, wie die von Herstellern physischer Produkte. Da eine Anwendung jedoch nur so sicher ist wie ihre schw\u00e4chste Komponente, kann dieses Gebahren gravierende Schwachstellen zur Folge haben. Die 2020er Jahre waren von einer Reihe von <a href=\"https:\/\/www.csoonline.com\/article\/3492023\/supply-chain-risk-management-so-wird-ihre-lieferkette-resilient.html\" title=\"Angriffen auf die Softwarelieferkette\" target=\"_blank\">Angriffen auf die Softwarelieferkette<\/a> gepr\u00e4gt, die f\u00fcr Schlagzeilen sorgten:<\/p>\n<ul class=\"wp-block-list\">\n<li>\n<p>Ende 2020 gelang es Hackern, die mit dem russischen Geheimdienst in Verbindung stehen sollen, eine Backdoor in die Netzwerk-Monitoring-Plattform von <a title=\"SolarWinds\" href=\"https:\/\/www.csoonline.com\/article\/3492805\/solarwinds-ciso-im-interview-mehr-offenheit-ist-gut-fur-die-branche.html\" target=\"_blank\">SolarWinds<\/a> einzuschleusen. Diese wird wiederum von anderen Sicherheitsprodukten genutzt, was zu ihrer Kompromittierung f\u00fchrte.<\/p>\n<\/li>\n<li>\n<p>Ende 2021 wurde eine schwerwiegende Sicherheitsl\u00fccke in Apache Log4j entdeckt, einer Java-Bibliothek, die f\u00fcr die Protokollierung von Systemereignissen verwendet wird. Das h\u00f6rt sich nur so lange langweilig an, bis man feststellt, dass fast jede Java-Anwendung <a title=\"Log4j\" href=\"https:\/\/www.csoonline.com\/article\/3498056\/log4j-alarmstufe-rot-wegen-java-lucke.html\" target=\"_blank\">Log4j<\/a> in irgendeiner Form verwendet und damit angreifbar wird.<\/p>\n<\/li>\n<\/ul>\n<p>Diese Sicherheitskrisen verdeutlichen die potenzielle Rolle der Software Bill of Materials innerhalb der Sicherheitslandschaft. Viele Anwender haben vielleicht nur beil\u00e4ufig von diesen Schwachstellen geh\u00f6rt, waren sich aber nicht bewusst, dass sie Log4j oder eine andere SolarWinds-Komponente verwenden. Mit einer SBOM wissen Sie genau, welche Pakete Sie installiert haben \u2013 und vor allem, welche Versionen dieser Pakete. So k\u00f6nnen Sie bei Bedarf aktualisieren, um auf der sicheren Seite zu sein.<\/p>\n<p>Eine Software Bill of Material kann auch \u00fcber die Sicherheit hinausgehen: SBOMs k\u00f6nnen Entwicklern beispielsweise dabei helfen, den \u00dcberblick \u00fcber die Open-Source-Lizenzen ihrer verschiedenen Softwarekomponenten zu behalten, was wichtig ist, wenn es darum geht, Applikationen zu distribuieren.<\/p>\n<h1 class=\"wp-block-heading\" id=\"sboms-pflicht-in-den-usa-und-bald-auch-in-europa\">SBOMs \u2013 Pflicht in den USA und bald auch in Europa<\/h1>\n<p>Der SolarWinds-Hack hat insbesondere bei der US-Regierung die Alarmglocken schrillen lassen \u2013 auch weil viele US-Bundesbeh\u00f6rden die kompromittierte Komponente eingesetzt hatten. Deshalb enthielt die im Mai 2022 von der Biden-Regierung erlassene <a href=\"https:\/\/www.csoonline.com\/article\/3618730\/biden-administration-releases-ambitious-cybersecurity-executive-order.html\" title=\"Cybersecurity-Verordnung\" target=\"_blank\">Cybersecurity-Verordnung<\/a> auch Richtlinien im Zusammenhang mit Software Bill of Materials. Das US-Handelsministerium ver\u00f6ffentlichte <a href=\"https:\/\/www.csoonline.com\/article\/3622457\/government-mandated-sboms-to-throw-light-on-software-supply-chain-security.html\" title=\"einen Leitfaden\" target=\"_blank\">einen Leitfaden<\/a>, welche grundlegenden Elemente in SBOMs enthalten sein m\u00fcssen.<\/p>\n<p>Obwohl sich die Anordnung speziell auf diejenigen bezieht, die in direkter Beziehung zu den US-Bundesbeh\u00f6rden stehen, werden die Regelungen weitergehende Auswirkungen haben. Schlie\u00dflich werden die an die US-Regierung verkauften Produkte, die nun mit einer SBOM ausgeliefert werden m\u00fcssen, gr\u00f6\u00dftenteils auch an andere Unternehmen und Organisationen verkauft. Viele Softwarehersteller hoffen, dass die Kunden aus der Privatwirtschaft SBOMs ebenfalls <a href=\"https:\/\/www.csoonline.com\/article\/3663468\/for-one-software-maker-an-sbom-adds-value-to-the-product.html\" title=\"als Mehrwert betrachten\" target=\"_blank\">als Mehrwert betrachten<\/a>.<\/p>\n<p>Au\u00dferdem ist das staatliche Auftragswesen selbst eine Lieferkette, wie Sounil Yu, ehemaliger Chief Security Scientist bei der Bank of America und jetzt CISO und Forschungsleiter bei JupiterOn, unterstreicht: \u201cEs gibt nur eine bestimmte Anzahl von Unternehmen, die direkt mit der US-Regierung zusammenarbeiten und von der Verordnung betroffen sind. Die Auswirkungen auf der zweiten Zuliefererebene sind noch wesentlich gr\u00f6\u00dfer.\u201d<\/p>\n<p>In Europa wird die SBOM ebenfalls verpflichtend \u2013 und zwar im Rahmen der Umsetzung des <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Informationen-und-Empfehlungen\/Cyber_Resilience_Act\/cyber_resilience_act.html\" target=\"_blank\" rel=\"noreferrer noopener\">Cyber Resilience Act<\/a> bis Ende 2027. <\/p>\n<h1 class=\"wp-block-heading\" id=\"software-bill-of-materials-aufbau\">Software Bill of Materials \u2013 Aufbau<\/h1>\n<p>Als Reaktion auf die Executive Order ver\u00f6ffentlichte die National Telecommunications and Information Administration (NTIA) im Juli 2021 den Leitfaden \u201c<a href=\"https:\/\/www.ntia.doc.gov\/files\/ntia\/publications\/sbom_minimum_elements_report.pdf\" title=\"The Minimum Elements For a Software Bill of Materials\" target=\"_blank\" rel=\"noopener\">The Minimum Elements For a Software Bill of Materials<\/a>\u201d (PDF). Das Dokument k\u00f6nnte zu einem De-facto-Standard f\u00fcr SBOMs in der gesamten Branche werden und legt sieben Datenfelder fest, die jede SBOM enthalten sollte:<\/p>\n<ul class=\"wp-block-list\">\n<li>\n<p><strong>Name des Anbieters:<\/strong> Der Name einer Einheit, die eine Komponente erstellt, definiert und identifiziert.<\/p>\n<\/li>\n<li>\n<p><strong>Komponentenname:<\/strong> Die Bezeichnung, die einer vom urspr\u00fcnglichen Lieferanten definierten Softwareeinheit zugewiesen wird.<\/p>\n<\/li>\n<li>\n<p><strong>Version der Komponente:<\/strong> Eine Kennung, die vom Lieferanten verwendet wird, um eine \u00c4nderung der Software gegen\u00fcber einer zuvor identifizierten Version anzugeben.<\/p>\n<\/li>\n<li>\n<p><strong>Andere eindeutige Identifikatoren:<\/strong> Andere Informationen, die verwendet werden, um eine Komponente zu identifizieren oder als Nachschlageschl\u00fcssel f\u00fcr relevante Datenbanken dienen. Das k\u00f6nnte etwa ein Identifikator aus dem <a href=\"https:\/\/nvd.nist.gov\/products\/cpe\" target=\"_blank\" rel=\"noreferrer noopener\">NIST CPE Dictionary<\/a> sein.<\/p>\n<\/li>\n<li>\n<p><strong>Abh\u00e4ngigkeitsbeziehung:<\/strong> Kennzeichnet die Beziehung, in der eine Upstream-Komponente X in Software Y enthalten ist. Das ist besonders wichtig f\u00fcr Open-Source-Projekte.<\/p>\n<\/li>\n<li>\n<p><strong>Autor der SBOM-Daten:<\/strong> Der Name der Entit\u00e4t, die die SBOM-Daten erstellt.<\/p>\n<\/li>\n<li>\n<p><strong>Zeitstempel:<\/strong> Aufzeichnung des Datums und der Uhrzeit der Zusammenstellung der SBOM-Daten.<\/p>\n<\/li>\n<\/ul>\n<p>SBOMs m\u00fcssen dar\u00fcber hinaus auch folgende Anforderungen erf\u00fcllen:<\/p>\n<ul class=\"wp-block-list\">\n<li>\n<p>Die SBOM muss in einem von <strong>drei standardisierten Formaten<\/strong> vorliegen, damit sie maschinenlesbar ist \u2013 <strong><a title=\"SPDX\" href=\"https:\/\/spdx.dev\/\" target=\"_blank\" rel=\"noopener\">SPDX<\/a>, <a title=\"CycloneDX\" href=\"https:\/\/github.com\/CycloneDX\" target=\"_blank\" rel=\"noopener\">CycloneDX<\/a> oder <a title=\"SWID-Tags\" href=\"https:\/\/csrc.nist.gov\/projects\/Software-Identification-SWID\" target=\"_blank\" rel=\"noopener\">SWID-Tags<\/a><\/strong>.<\/p>\n<\/li>\n<li>\n<p>Mit jeder neuen Softwareversion <strong>muss eine neue SBOM generiert werden<\/strong>, um sicherzustellen, dass sie auf dem neuesten Stand ist.<\/p>\n<\/li>\n<li>\n<p>Die SBOM muss nicht nur Abh\u00e4ngigkeitsbeziehungen enthalten, sondern auch Aufschluss dar\u00fcber geben, <strong>wo solche Beziehungen wahrscheinlich bestehen<\/strong>, aber der Organisation, die die SBOM erstellt, unbekannt sind.<\/p>\n<\/li>\n<\/ul>\n<h1 class=\"wp-block-heading\" id=\"sbom-erstellen-so-gehts\">SBOM erstellen \u2013 so geht\u2019s<\/h1>\n<p>Wenn Sie diesen Artikel lesen, empfinden Sie es m\u00f6glicherweise als entmutigende Aufgabe, eine Software Bill of Materials zu erstellen. Schlie\u00dflich muss es ein Alptraum sein, all diese Informationen manuell zusammenzutragen. Gl\u00fccklicherweise werden SBOMs in den meisten F\u00e4llen mit Hilfe von SCA-Tools (Software Composition Analysis ) automatisch erstellt. Diese Tools werden h\u00e4ufig in DevSecOps-Pipelines eingesetzt und spielen nicht nur f\u00fcr die Erstellung von SBOMs eine Rolle.<\/p>\n<p>SCA-Tools durchsuchen Ihre Codeverzeichnisse nach Paketen und vergleichen sie mit Online-Datenbanken, um sie mit bekannten Bibliotheken abzugleichen. Es gibt aber auch Werkzeuge, die eine Software Bill of Materials im Rahmen des Software-Build-Prozesses <a href=\"https:\/\/blog.chainguard.dev\/auto-sboms-with-ko\/\" title=\"erstellen\" target=\"_blank\" rel=\"noopener\">erstellen<\/a>. Die OWASP Foundation hat eine umfassende Liste von SCA-Tools <a href=\"https:\/\/owasp.org\/www-community\/Component_Analysis\" title=\"zusammengestellt\" target=\"_blank\" rel=\"noopener\">zusammengestellt<\/a>, die von einfachen, quelloffenen Kommandozeilen-Tools bis hin zu spezialisierten, kommerziellen Produkten reicht. Wenn Sie tiefer in diesen Bereich eintauchen m\u00f6chten, sollten Sie au\u00dferdem einen Blick auf unseren Artikel \u201c<a href=\"https:\/\/www.computerwoche.de\/article\/2813071\/7-tools-die-ihre-softwarelieferkette-absichern.html\" title=\"7 Tools, die Ihre Softwarelieferkette absichern\" target=\"_blank\">7 Tools, die Ihre Softwarelieferkette absichern<\/a>\u201d werfen.<\/p>\n<p>Wenn Sie verteilte Software entwickeln, wird es immer wichtiger, SBOMs in Ihre Entwicklungspraxis zu integrieren. Auch wenn Sie keine Vertr\u00e4ge mit der US-Regierung abschlie\u00dfen \u2013 Sie sollten sich angesichts der Bedrohungslage in jedem Fall Gedanken \u00fcber die Sicherheit ihrer Softwarelieferkette machen.<\/p>\n<p><strong>Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong><a href=\"https:\/\/www.csoonline.com\/de\/newsletters\/signup\/\" target=\"_blank\"><strong>Unser kostenloser Newsletter<\/strong><\/a><strong> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Softwareentwicklung und Autoproduktion haben mehr gemein, als man denkt. Lesen Sie, was Sie zum Thema Software Bill of Materials (SBOM) wissen sollten. Foto: Ju1978 \u2013 shutterstock.com Eine Software Bill of Materials ist ein detaillierter Leitfaden, der unter anderem Aufschluss \u00fcber die Komponenten Ihrer Software gibt. Als eine Art St\u00fcckliste hilft eine SBOM Anbietern und K\u00e4ufern gleicherma\u00dfen, den \u00dcberblick \u00fcber die Komponenten zu behalten und die&#8230; <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=15448\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-15448","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15448","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15448"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15448\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15448"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15448"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15448"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}