Open Source & SBOM Resilience
SBOM Readiness
Eine Software Bill of Materials listet alle Komponenten und Abhängigkeiten einer Anwendung — einschließlich transitiver Abhängigkeiten. SBOMs sind das Bindeglied zwischen Transparenz, Schwachstellenmanagement und Aktualität.
Management-Zusammenfassung
- Zwei internationale SBOM-Standards: SPDX (ISO/IEC 5962:2021) und CycloneDX (OWASP, Version 1.6).
- Sechs Readiness-Faktoren definieren die vollständige SBOM-Abdeckung in Entwicklung und Betrieb.
- SBOM-Erzeugung ist unter DORA Art. 24 Teil des Testprogramms — Analysen von Open-Source-Software sind verpflichtend.
SBOM-Standards
| Standard | Version | Maintainer | Beschreibung |
|---|---|---|---|
| SPDX | ISO/IEC 5962:2021 | Linux Foundation | Offener Standard für SBOMs, Lizenzinformationen und Sicherheitsreferenzen. |
| CycloneDX | 1.6 | OWASP | Internationaler BOM-Standard mit Unterstützung für SBOM, SaaSBOM, CBOM, VEX, HBOM und AI/ML-BOM. |
Readiness-Checkliste
Sechs Faktoren bestimmen die SBOM-Readiness:
SBOM Readiness Generator
Erzeugen Sie eine Beispiel-SBOM für Ihre Anwendung im gewünschten Format.
Wählen Sie Komponenten unten aus.
Komponenten
Vorschau ()
Verlauf (letzte 10)
SPDX / CycloneDX Export
Vergleichen Sie Beispiel-SBOMs in beiden Formaten.
{
"spdxVersion": "SPDX-2.3",
"dataLicense": "CC0-1.0",
"SPDXID": "SPDXRef-ResiliencePlatform",
"name": "Resilience Platform 2.1.0",
"creationInfo": {
"created": "2026-06-26T10:00:00Z",
"creators": [
"Tool: Resilience Platform v1.0",
"Person: DORA Compliance Team"
]
},
"packages": [
{
"SPDXID": "SPDXRef-Comp-1",
"name": "laravel/framework",
"versionInfo": "11.0",
"supplier": "NOASSERTION",
"downloadLocation": "NOASSERTION",
"filesAnalyzed": false,
"licenseConcluded": "MIT",
"licenseDeclared": "MIT"
},
{
"SPDXID": "SPDXRef-Comp-2",
"name": "spatie/laravel-permission",
"versionInfo": "6.0",
"supplier": "NOASSERTION",
"downloadLocation": "NOASSERTION",
"filesAnalyzed": false,
"licenseConcluded": "MIT",
"licenseDeclared": "MIT"
},
{
"SPDXID": "SPDXRef-Comp-3",
"name": "filament/filament",
"versionInfo": "3.0",
"supplier": "NOASSERTION",
"downloadLocation": "NOASSERTION",
"filesAnalyzed": false,
"licenseConcluded": "MIT",
"licenseDeclared": "MIT"
}
],
"relationships": [
{
"spdxElementId": "SPDXRef-ResiliencePlatform",
"relatedSpdxElement": "SPDXRef-Comp-1",
"relationshipType": "DEPENDS_ON"
}
]
}
{
"bomFormat": "CycloneDX",
"specVersion": "1.6",
"serialNumber": "urn:uuid:SBOM-RP-2-1-0-20260626",
"version": 1,
"metadata": {
"timestamp": "2026-06-26T10:00:00Z",
"tools": [
{
"vendor": "Resilience Platform",
"name": "SBOM Generator",
"version": "1.0"
}
],
"component": {
"type": "application",
"name": "Resilience Platform",
"version": "2.1.0",
"bom-ref": "SBOM-RP-2-1-0-20260626"
}
},
"components": [
{
"type": "library",
"bom-ref": "SBOM-RP-2-1-0-comp-1",
"name": "laravel/framework",
"version": "11.0",
"licenses": [
{ "license": { "id": "MIT" } }
],
"purl": "pkg:composer/laravel/framework@11.0"
},
{
"type": "library",
"bom-ref": "SBOM-RP-2-1-0-comp-2",
"name": "spatie/laravel-permission",
"version": "6.0",
"licenses": [
{ "license": { "id": "MIT" } }
],
"purl": "pkg:composer/spatie/laravel-permission@6.0"
},
{
"type": "library",
"bom-ref": "SBOM-RP-2-1-0-comp-3",
"name": "filament/filament",
"version": "3.0",
"licenses": [
{ "license": { "id": "MIT" } }
],
"purl": "pkg:composer/filament/filament@3.0"
}
]
}
SBOM-Reifegrad-Check
Bewerten Sie den Reifegrad Ihrer SBOM-Prozesse anhand dieser sieben Faktoren.
Ergebnis wird automatisch gespeichert.
SBOM-Reifegrad
Erfüllte Kriterien
/
Handlungsempfehlung
Verknüpfte Module
Hinweis: DORA Art. 24 verlangt Analysen von Open-Source-Software als Teil des Testprogramms für IKT-Tools und -Systeme. Die SBOM-Erzeugung und -Analyse ist ein verpflichtender Bestandteil des DORA-Testprogramms.