Open Source & SBOM Resilience
SBOM Readiness
Eine Software Bill of Materials listet alle Komponenten und Abhängigkeiten einer Anwendung — einschließlich transitiver Abhängigkeiten. SBOMs sind das Bindeglied zwischen Transparenz, Schwachstellenmanagement und Aktualität.
Hinweis: Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.
Management-Zusammenfassung
- Zwei internationale SBOM-Standards: SPDX (ISO/IEC 5962:2021) und CycloneDX (OWASP, Version 1.6).
- Sechs Readiness-Faktoren definieren die vollständige SBOM-Abdeckung in Entwicklung und Betrieb.
- SBOM-Erzeugung ist unter DORA Art. 24 Teil des Testprogramms — Analysen von Open-Source-Software sind verpflichtend.
SBOM-Standards
| Standard | Version | Maintainer | Beschreibung |
|---|---|---|---|
| SPDX | ISO/IEC 5962:2021 | Linux Foundation | Offener Standard für SBOMs, Lizenzinformationen und Sicherheitsreferenzen. |
| CycloneDX | 1.6 | OWASP | Internationaler BOM-Standard mit Unterstützung für SBOM, SaaSBOM, CBOM, VEX, HBOM und AI/ML-BOM. |
Readiness-Checkliste
Sechs Faktoren bestimmen die SBOM-Readiness:
1
Automatisierte SBOM-Erzeugung in Build-Pipelines
2
Versionierung und Archivierung je Release
3
Ausweisung direkter und transitiver Abhängigkeiten
4
Verknüpfung mit Anwendungen, Services und kritischen Funktionen
5
SBOM-Anforderung für Lieferantensoftware
6
Integration in Schwachstellenmanagement
Verknüpfte Module
Hinweis: DORA Art. 24 verlangt Analysen von Open-Source-Software als Teil des Testprogramms für IKT-Tools und -Systeme. Die SBOM-Erzeugung und -Analyse ist ein verpflichtender Bestandteil des DORA-Testprogramms.