Was hinter dem internationalen Zielbild zu SBOM steckt – und was es für Ihre Sicherheitspraxis bedeutet
Diese sogenannte SBOM – also die Software Bill of Materials – ist mehr als nur ein Inventar. Sie ist eine maschinenlesbare, automatisiert generierte Liste aller Komponenten einer Software, einschließlich eingebundener Fremdbibliotheken und Frameworks. Was auf den ersten Blick wie trockene IT-Dokumentation wirkt, wird im Kontext der heutigen Bedrohungslage zu einem strategischen Hebel. Denn nur wer weiß, was in seiner Software steckt, kann gezielt auf Schwachstellen reagieren, die durch Security Advisories oder CVE-Datenbanken bekannt werden.
Ziel der gemeinsamen Publikation ist es, SBOMs nicht nur zu erklären, sondern ihre Bedeutung für verschiedene Zielgruppen – von Entwicklern über Betreiber bis hin zu Behörden – auch konkret darzustellen. Dabei ist eines klar: Ohne Transparenz in der Software-Lieferkette bleiben Schwachstellen unsichtbar, bis es zu spät ist.
Mein Tipp:
Der europäische Gesetzgeber hat das längst erkannt. Mit dem Cyber Resilience Act (CRA) werden SBOMs künftig verbindlich vorgeschrieben. Wer Produkte mit digitalen Komponenten auf den Markt bringen will, wird um eine vollständige, normgerechte und verwertbare SBOM nicht herumkommen. Zur Unterstützung hat das BSI die Technische Richtlinie TR-03183-2 veröffentlicht, die beschreibt, wie eine SBOM inhaltlich und formal aussehen muss.