SBOM - Software Bill of Materials
Software-Stückliste
Was bedeutet SBOM?
Eine SBOM (Software Bill of Materials) ist eine vollständige, maschinenlesbare Liste aller Bestandteile einer Software - analog zur Stückliste in der Fertigungsindustrie. Sie enthält alle direkten und indirekten Abhängigkeiten (also auch Bibliotheken, die von anderen Bibliotheken benötigt werden) samt Versionen, Lizenzen und Lieferanten. Etablierte Formate sind SPDX (ISO/IEC 5962) und CycloneDX. Die SBOM ist die Voraussetzung dafür, bei einer neuen Schwachstelle wie Log4Shell oder XZ-Backdoor schnell prüfen zu können, welche Produkte betroffen sind.
SBOM-Pflicht durch den Cyber Resilience Act
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) verpflichtet Hersteller von Produkten mit digitalen Elementen, eine SBOM zu erstellen und gegenüber Marktüberwachungsbehörden vorzuhalten. Die BSI TR-03183-2 konkretisiert die technischen Anforderungen für den deutschen Markt.
Formate: SPDX und CycloneDX
SPDX wurde von der Linux Foundation entwickelt und ist als ISO/IEC 5962:2021 standardisiert. CycloneDX stammt aus dem OWASP-Projekt und ist insbesondere im Security-Tooling weit verbreitet. Beide Formate können als JSON, XML oder YAML gespeichert werden und werden von gängigen Build-Tools automatisch erzeugt.
SBOM allein reicht nicht
Eine SBOM ist eine reine Inventarliste - sie sagt nichts darüber aus, ob die enthaltenen Komponenten Schwachstellen haben. Erst die Verknüpfung mit Schwachstellen-Feeds (CVE) und Advisory-Formaten (CSAF, VEX) liefert die für den Betrieb nötige Risikobewertung.
Verwandte Begriffe
Quellen
Zuletzt aktualisiert: 2026-05-19