Open Source & SBOM Resilience
OSS-Komponenteninventar
Ein zentrales Inventar erfasst alle relevanten OSS-Komponenten — mit Anwendung, Version, Kritikalität, Patch-Status und Eigentümer. Verknüpft mit Informationsregister und IKT-Assetmanagement.
Hinweis: Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.
Management-Zusammenfassung
- 15 Datenfelder definieren das OSS-Komponenteninventar — von component_id über package URL bis patch_status.
- Jede Komponente ist mit Anwendung, kritischer/wichtiger Funktion, Lieferant und SBOM-ID verknüpft.
- Das Inventar ist die zentrale Datenbasis für Schwachstellenmanagement, Patch-Entscheidungen und Drittparteiensteuerung.
Datenfelder des OSS-Komponenteninventars
| Feld | Typ | Beschreibung |
|---|---|---|
| component_id | string | Komponenten-ID |
| name | string | Name |
| version | string | Version |
| package_url | string | Package URL (purl) |
| spdx_license_expression | string | SPDX-Lizenzausdruck |
| source | enum: internal_build, supplier_sbom, manual | Quelle |
| dependency_type | enum: direct, transitive | Abhängigkeitstyp |
| application | string | Anwendung |
| critical_or_important_function | boolean | Kritische/wichtige Funktion |
| supplier | string | Lieferant |
| sbom_id | string | SBOM-ID |
| latest_known_version | string | Neueste bekannte Version |
| patch_status | enum: current, update_available, vulnerable, exception_approved, unknown | Patch-Status |
| risk_rating | enum: low, medium, high, critical | Risikobewertung |
| owner | string | Verantwortlich |
Datenmodell-Struktur
Die logische Struktur des OSS-Komponenteninventars:
OSS-Komponenteninventar ├── component_id (Eindeutige ID, z. B. UUID) ├── name (Komponentenname) ├── version (Installierte Version) ├── package_url (purl nach Package-URL-Spezifikation) ├── spdx_license_expression (SPDX-Lizenzausdruck) ├── source (internal_build | supplier_sbom | manual) ├── dependency_type (direct | transitive) ├── application (Verknüpfte Anwendung) ├── critical_or_important_function (boolean) ├── supplier (Lieferant, falls zutreffend) ├── sbom_id (Referenz auf SBOM) ├── latest_known_version (Neueste verfügbare Version) ├── patch_status (current | update_available | vulnerable | exception_approved | unknown) ├── risk_rating (low | medium | high | critical) └── owner (Verantwortliche Person oder Rolle)