DORA · Open Source · SBOM · Software Supply Chain
Open Source & SBOM Resilience
Open Source Software ist unter DORA kein technisches Randthema mehr, sondern Teil des IKT-Risikomanagements, Schwachstellenmanagements, Änderungsmanagements, Testprogramms und Drittparteienrisikos.
Management-Zusammenfassung
- Open Source unter DORA: IKT-Risikomanagement, Schwachstellen, Änderungsmanagement, Testing und Drittparteiensteuerung.
- SBOMs als Bindeglied zwischen Transparenz, Schwachstellenmanagement und Aktualität.
- Kein isoliertes IT-Sicherheitsthema — Querschnitt über DORA, Cyber Risk, Drittparteien, Evidence.
- Vollständige SBOMs nur intern oder unter kontrollierter Freigabe — nicht öffentlich.
OSS Governance
Richtlinie, Risikomanagement-Rahmen und Rollen für Open Source Software
Modul öffnen →SBOM Readiness
SBOM-Standards (SPDX, CycloneDX), Erzeugung, Archivierung und Integration
Modul öffnen →OSS Inventory
Komponenteninventar, Datenmodell und Verknüpfung mit Informationsregister
Modul öffnen →Vulnerability Management
7-Schritt-Workflow, 9 Zustände, Human Gates und Management-Reporting
Modul öffnen →Patch & Exception
Patch-Entscheidungen, Ausnahmemanagement, SLA und kompensierende Kontrollen
Modul öffnen →Supplier SBOM
Vertragsklauseln, Lieferantenanforderungen und SBOM-Compliance-Prüfung
Modul öffnen →OSS Evidence
7 Evidenzkategorien mit Verantwortlichen, Review-Zyklen und ISO-Ankern
Modul öffnen →Training & Awareness
Rollenbasierte Schulung für Entwicklung, Architektur, Sicherheit, Einkauf und Compliance
Modul öffnen →Verknüpfte Module
Open Source & SBOM Resilience ist ein Querschnittsthema über folgende Module:
Sicherheitshinweis: Vollständige SBOMs enthalten sicherheitsrelevante Informationen und dürfen nicht unkontrolliert öffentlich gemacht werden. SBOMs nur intern oder unter kontrollierter Freigabe bereitstellen.