Lexikon · Technik & Security
SBOM (Software Bill of Materials)
Software Bill of Materials (Software-Stückliste)
Eine SBOM (Software Bill of Materials) ist ein strukturiertes Verzeichnis aller Software-Bestandteile eines Produkts, einschließlich Fremd- und Open-Source-Komponenten. Sie ist Grundlage, um Schwachstellen schnell zuzuordnen.
Ausführliche Erklärung
Moderne Software besteht zu großen Teilen aus Fremd- und Open-Source-Komponenten. Ohne Überblick über diese Bestandteile lässt sich im Ernstfall nicht schnell feststellen, ob ein Produkt von einer neu bekannt gewordenen Schwachstelle betroffen ist. Die SBOM schafft diese Transparenz.
Der Cyber Resilience Act verlangt von Herstellern, eine SBOM zu erstellen und aktuell zu halten. Sie ist damit zugleich Werkzeug des Schwachstellenmanagements und Bestandteil der technischen Dokumentation. Verbreitete Formate sind SPDX und CycloneDX.
Verwandte Begriffe
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung.
Schwachstellenmanagement
Schwachstellenmanagement ist der fortlaufende Prozess, technische Schwachstellen zu erkennen, hinsichtlich ihres Risikos zu bewerten und risikobasiert zu beheben, etwa durch Patches oder Mitigationen.
Patch-Management
Patch-Management ist der Prozess, Sicherheitsupdates für Betriebssysteme und Software systematisch zu erkennen, zu bewerten und zeitnah einzuspielen, um bekannte Schwachstellen zu schließen.
Koordinierte Schwachstellen-Offenlegung (CVD)
Die koordinierte Schwachstellen-Offenlegung (CVD) ist ein geregelter Prozess, über den Sicherheitsforscher gefundene Schwachstellen vertraulich an den Hersteller melden, damit dieser sie vor einer Veröffentlichung beheben kann.
SBOM (Software Bill of Materials) in der Praxis umsetzen
CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.
