Software entsteht heute in hochgradig vernetzten Ökosystemen: unzählige Bibliotheken, Container, Microservices und externe Abhängigkeiten wirken zusammen. Je vielfältiger diese Landschaft wird, desto wichtiger ist der Überblick darüber, was tatsächlich im Einsatz ist. Eine Software Bill of Materials (SBOM) schafft genau diese Transparenz.

Der Cyber Resilience Act (CRA) hebt diese Notwendigkeit nun auf eine verbindliche Ebene. Unternehmen müssen künftig nachweisen können, welche Komponenten sie verwenden, wie aktuell diese sind und wo mögliche Risiken entstehen. Damit wird die SBOM zu einem strategischen Werkzeug für sichere und nachvollziehbare Softwareentwicklung.

Im Kern ist eine SBOM eine vollständige Liste aller eingesetzten Softwarekomponenten – vergleichbar mit einer Materialübersicht in der physischen Produktion. Sie dokumentiert Bibliotheken, Versionen, Herkunft und Abhängigkeiten.

Diese Transparenz macht es möglich, bei neu auftretenden Sicherheitslücken sofort zu prüfen, ob betroffene Komponenten verwendet werden, und entsprechende Maßnahmen einzuleiten.

Moderne Entwicklungsumgebungen bringen einige Herausforderungen mit sich:

Komplexe Systemlandschaften: 
Container-basierte Architekturen bündeln zahlreiche Services und Abhängigkeiten. Jede Komponente muss korrekt erfasst werden, um ein vollständiges Bild zu erhalten.

Ständig wechselnde Cloud- und CI/CD-Umgebungen: 
Mit jedem Build, Update oder Deployment verändert sich die Softwarebasis. Eine SBOM hat deshalb nur dann Wert, wenn sie regelmäßig – idealerweise automatisiert – aktualisiert wird.

Zusätzliche organisatorische Anforderungen: 
Neue Prozesse, passende Tools und klare Zuständigkeiten sind nötig, um SBOMs sauber in den Entwicklungsalltag einzubinden. Der Einrichtungsaufwand ist spürbar, zahlt sich aber dauerhaft aus.

In vielen unserer Projekte haben wir Wege gesucht, SBOMs möglichst reibungslos in bestehende Workflows zu integrieren. Ein Ansatz hat sich besonders bewährt: CycloneDX.

CycloneDX, entwickelt von der OWASP Foundation, bietet einen klar strukturierten, maschinenlesbaren Standard, der sich hervorragend automatisieren lässt. Das erleichtert die Umsetzung der CRA-Anforderungen und macht SBOMs zu einem festen, aber gut handhabbaren Bestandteil des Entwicklungsprozesses.

Warum CycloneDX überzeugt:

• Vollständige Erfassung aller Softwarekomponenten und ihrer Abhängigkeiten
• Integrierte Unterstützung für Sicherheits- und Lizenzrisiken
• Breites Ökosystem an Plugins und Generatoren
• Unterstützung vieler Programmiersprachen
• Flexibel nutzbare Formate wie XML, JSON oder Protocol Buffers
• Optionale Signierung zur Sicherstellung der Integrität

Besonders wertvoll ist die nahtlose Automatisierung:

Build-Tools, CI/CD-Pipelines und DevSecOps-Workflows lassen sich so erweitern, dass SBOMs praktisch nebenbei entstehen – bei jedem Build, jeder Version, jedem Deployment. Damit sinkt der manuelle Aufwand deutlich. Der initiale Einrichtungsaufwand bleibt, aber der Gewinn an Transparenz und Sicherheit ist langfristig enorm.