Zum Inhalt springen

Open Source & SBOM Resilience

SBOM Readiness

Eine Software Bill of Materials listet alle Komponenten und Abhängigkeiten einer Anwendung — einschließlich transitiver Abhängigkeiten. SBOMs sind das Bindeglied zwischen Transparenz, Schwachstellenmanagement und Aktualität.

Hinweis: Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.

Management-Zusammenfassung

  • Zwei internationale SBOM-Standards: SPDX (ISO/IEC 5962:2021) und CycloneDX (OWASP, Version 1.6).
  • Sechs Readiness-Faktoren definieren die vollständige SBOM-Abdeckung in Entwicklung und Betrieb.
  • SBOM-Erzeugung ist unter DORA Art. 24 Teil des Testprogramms — Analysen von Open-Source-Software sind verpflichtend.

SBOM-Standards

Standard Version Maintainer Beschreibung
SPDX ISO/IEC 5962:2021 Linux Foundation Offener Standard für SBOMs, Lizenzinformationen und Sicherheitsreferenzen.
CycloneDX 1.6 OWASP Internationaler BOM-Standard mit Unterstützung für SBOM, SaaSBOM, CBOM, VEX, HBOM und AI/ML-BOM.

Readiness-Checkliste

Sechs Faktoren bestimmen die SBOM-Readiness:

1 Automatisierte SBOM-Erzeugung in Build-Pipelines
2 Versionierung und Archivierung je Release
3 Ausweisung direkter und transitiver Abhängigkeiten
4 Verknüpfung mit Anwendungen, Services und kritischen Funktionen
5 SBOM-Anforderung für Lieferantensoftware
6 Integration in Schwachstellenmanagement

SBOM Readiness Generator

Erzeugen Sie eine Beispiel-SBOM für Ihre Anwendung im gewünschten Format.

Wählen Sie Komponenten unten aus.

Komponenten

SPDX / CycloneDX Export

Vergleichen Sie Beispiel-SBOMs in beiden Formaten.

ISO/IEC 5962:2021 Linux Foundation
{
  "spdxVersion": "SPDX-2.3",
  "dataLicense": "CC0-1.0",
  "SPDXID": "SPDXRef-ResiliencePlatform",
  "name": "Resilience Platform 2.1.0",
  "creationInfo": {
    "created": "2026-06-26T10:00:00Z",
    "creators": [
      "Tool: Resilience Platform v1.0",
      "Person: DORA Compliance Team"
    ]
  },
  "packages": [
    {
      "SPDXID": "SPDXRef-Comp-1",
      "name": "laravel/framework",
      "versionInfo": "11.0",
      "supplier": "NOASSERTION",
      "downloadLocation": "NOASSERTION",
      "filesAnalyzed": false,
      "licenseConcluded": "MIT",
      "licenseDeclared": "MIT"
    },
    {
      "SPDXID": "SPDXRef-Comp-2",
      "name": "spatie/laravel-permission",
      "versionInfo": "6.0",
      "supplier": "NOASSERTION",
      "downloadLocation": "NOASSERTION",
      "filesAnalyzed": false,
      "licenseConcluded": "MIT",
      "licenseDeclared": "MIT"
    },
    {
      "SPDXID": "SPDXRef-Comp-3",
      "name": "filament/filament",
      "versionInfo": "3.0",
      "supplier": "NOASSERTION",
      "downloadLocation": "NOASSERTION",
      "filesAnalyzed": false,
      "licenseConcluded": "MIT",
      "licenseDeclared": "MIT"
    }
  ],
  "relationships": [
    {
      "spdxElementId": "SPDXRef-ResiliencePlatform",
      "relatedSpdxElement": "SPDXRef-Comp-1",
      "relationshipType": "DEPENDS_ON"
    }
  ]
}
OWASP Standard Version 1.6
{
  "bomFormat": "CycloneDX",
  "specVersion": "1.6",
  "serialNumber": "urn:uuid:SBOM-RP-2-1-0-20260626",
  "version": 1,
  "metadata": {
    "timestamp": "2026-06-26T10:00:00Z",
    "tools": [
      {
        "vendor": "Resilience Platform",
        "name": "SBOM Generator",
        "version": "1.0"
      }
    ],
    "component": {
      "type": "application",
      "name": "Resilience Platform",
      "version": "2.1.0",
      "bom-ref": "SBOM-RP-2-1-0-20260626"
    }
  },
  "components": [
    {
      "type": "library",
      "bom-ref": "SBOM-RP-2-1-0-comp-1",
      "name": "laravel/framework",
      "version": "11.0",
      "licenses": [
        { "license": { "id": "MIT" } }
      ],
      "purl": "pkg:composer/laravel/framework@11.0"
    },
    {
      "type": "library",
      "bom-ref": "SBOM-RP-2-1-0-comp-2",
      "name": "spatie/laravel-permission",
      "version": "6.0",
      "licenses": [
        { "license": { "id": "MIT" } }
      ],
      "purl": "pkg:composer/spatie/laravel-permission@6.0"
    },
    {
      "type": "library",
      "bom-ref": "SBOM-RP-2-1-0-comp-3",
      "name": "filament/filament",
      "version": "3.0",
      "licenses": [
        { "license": { "id": "MIT" } }
      ],
      "purl": "pkg:composer/filament/filament@3.0"
    }
  ]
}

SBOM-Reifegrad-Check

Bewerten Sie den Reifegrad Ihrer SBOM-Prozesse anhand dieser sieben Faktoren.

Ergebnis wird automatisch gespeichert.

Hinweis: DORA Art. 24 verlangt Analysen von Open-Source-Software als Teil des Testprogramms für IKT-Tools und -Systeme. Die SBOM-Erzeugung und -Analyse ist ein verpflichtender Bestandteil des DORA-Testprogramms.