{"id":5574,"date":"2025-10-29T04:00:00","date_gmt":"2025-10-29T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5574"},"modified":"2025-10-29T04:00:00","modified_gmt":"2025-10-29T04:00:00","slug":"software-bill-of-material-umsetzen-die-besten-sbom-tools","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5574","title":{"rendered":"Software Bill of Material umsetzen: Die besten SBOM-Tools"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Nur wenn Sie wissen, was drinsteckt, k\u00f6nnen Sie sich sicher sein, dass alles mit rechten Dingen zugeht. Das gilt f\u00fcr Fast Food wie f\u00fcr Software. <\/p>\n

Foto: Geka \u2013 shutterstock.com<\/p>\n<\/div>\n

Um Software abzusichern, muss man wissen, was in ihrem Code steckt. Aus diesem Grund ist eine Software Bill of Material, SBOM oder Software-St\u00fcckliste heute unerl\u00e4sslich. Der SolarWinds-Angriff sowie die Log4j-Schwachstelle haben verdeutlicht, wie wichtig es ist, die Sicherheit von Softwarelieferketten in den Fokus zu nehmen \u2013 insbesondere, wenn es um Open Source Software geht. Einer Umfrage<\/a> (PDF) des Open-Source-Unternehmens Tidelift zufolge enthalten heute 92 Prozent aller Anwendungen Open-Source-Komponenten. Eine durchschnittliche, moderne Applikation besteht demnach sogar zu 70 Prozent aus quelloffener Software.<\/p>\n

Die Antwort auf die potenziellen Risiken sind \u2013 wenn es nach der Linux Foundation<\/a>, der Open Source Security Foundation<\/a> und OpenChain<\/a> geht \u2013 SBOMs: Formale und maschinenlesbare Metadaten, die ein Softwarepaket und seinen Inhalt eindeutig identifizieren. Die Software-St\u00fccklisten k\u00f6nnen auch andere Informationen enthalten, etwa Copyright- oder Lizenzdaten. Dabei ist eine Software Bill of Material so konzipiert, dass sie organisations\u00fcbergreifend ausgetauscht werden kann. Besonders hilfreich ist eine SBOM, um die Transparenz \u00fcber die von den Teilnehmern einer Softwarelieferkette<\/a> gelieferten Komponenten zu gew\u00e4hrleisten.<\/p>\n

SBOM \u2013 Best Practices<\/h1>\n

Eine SBOM sollte beinhalten:<\/p>\n

die Open-Source-Bibliotheken der Anwendung;<\/p>\n

Plugins, Erweiterungen und andere Zusatzmodule;<\/p>\n

von In-House-Entwicklern selbst geschriebenen Quellcode;<\/p>\n

Informationen \u00fcber die Versionen dieser Komponenten, ihren Lizenzierungs- und Patch-Status;<\/p>\n

automatische kryptografische Signatur und \u00dcberpr\u00fcfung von Komponenten;<\/p>\n

automatische Scans, um SBOMs als Teil der CI\/CD-Pipeline zu erstellen.<\/p>\n

Dabei sollte eine Software Bill of Material ein einheitliches Format verwenden. Zu den g\u00e4ngigen SBOM-Formaten geh\u00f6ren:<\/p>\n

Software Package Data Exchange (SPDX),<\/p>\n

Software Identification (SWID) Tagging und<\/p>\n

OWASP CycloneDX.<\/p>\n

Bislang hat sich keiner der drei Standards von den anderen abgesetzt und einen De-facto-Industriestandard geschaffen. Um SBOMs praktikabel zu machen, sollte die SBOM-Erstellung nicht nur automatisiert, sondern in die CI\/CD-Pipeline<\/a> integriert werden. Oder wie die National Telecommunications and Information Administration (NTIA) es ausdr\u00fcckt<\/a> (PDF): \u201cDas ultimative Ziel ist es, SBOMs in Maschinengeschwindigkeit zu generieren.\u201d<\/p>\n

Software Bill of Materials \u2013 Use Cases<\/h1>\n

Auch bei SBOMs gibt es drei verschiedene Anwendungsf\u00e4lle. Im Allgemeinen sind das:<\/p>\n

Softwarehersteller<\/strong> verwenden SBOMs, um Erstellung und Wartung der von ihnen gelieferten Software zu unterst\u00fctzen.<\/p>\n

Softwareeink\u00e4ufer<\/strong> nutzen SBOMs, um sich vor dem Kauf abzusichern, Rabatte auszuhandeln und Implementierungsstrategien aufzusetzen.<\/p>\n

Softwarebetreiber<\/strong> nutzen SBOMs f\u00fcr das Vulnerability- und Asset-Management, um Lizenzen und Compliance zu managen und Abh\u00e4ngigkeiten und Risiken in Sachen Software und Komponenten schnell zu identifizieren.<\/p>\n

Gartner geht davon aus<\/a>, dass bis zum Jahr 2025 60 Prozent der Unternehmen, die Software f\u00fcr kritische Infrastrukturen entwickeln oder beschaffen, SBOMs vorschreiben und standardisieren werden. Heute liegt dieser Wert bei weniger als 20 Prozent.<\/p>\n

Empfehlenswerte SBOM-Tools<\/h1>\n

Bei drei verschiedenen SBOM-Formaten und einer Vielzahl von Metadaten, die innerhalb einer Software Bill of Material verfolgt werden k\u00f6nnen, ist es nicht verwunderlich, dass es kein SBOM-Tool gibt, das s\u00e4mtliche Bed\u00fcrfnisse erf\u00fcllt. Gartner empfiehlt<\/a>, Tools zu verwenden, die folgende Funktionen mitbringen:<\/p>\n

SBOMs w\u00e4hrend des Build-Prozesses erstellen;<\/p>\n

Quellcode und Bin\u00e4rdateien (wie Container-Images) analysieren;<\/p>\n

SBOMs bearbeiten;<\/p>\n

SBOMs in lesbaren Formaten anzeigen, vergleichen, importieren und validieren;<\/p>\n

SBOM-Inhalte von einem Format oder Dateityp in andere \u00fcbersetzen, beziehungsweise die Informationen zusammenf\u00fchren; <\/p>\n

Einbindung anderer Tools \u00fcber APIs und Bibliotheken;<\/p>\n

Keines der folgenden acht Tools erf\u00fcllt (bislang) all diese Empfehlungen. Wir empfehlen Ihnen, die Tools auszuprobieren und anschlie\u00dfend zu ermitteln, welches f\u00fcr Ihre Zwecke am besten geeignet ist. Diese acht SBOM-Tools verdienen Ihre Aufmerksamkeit:<\/p>\n

Anchore<\/a><\/strong><\/p>\n

Das Unternehmen ist bereits seit sechs Jahren im SBOM-Business t\u00e4tig. Die Grundlage des Unternehmens bilden zwei Open-Source-Projekte:<\/p>\n

Syft ist ein Tool mit Kommandozeilen-Interface und eine Bibliothek, um SBOMs aus Container-Images und Dateisystemen zu erzeugen. <\/p>\n

Grype ist ein einfach zu integrierendes Tool, um Container-Images und Dateisysteme auf Schwachstellen zu scannen.<\/p>\n

Zusammen k\u00f6nnen diese beiden Werkzeuge Software-St\u00fccklisten in jeder Phase des Entwicklungsprozesses erzeugen, von Quellcode-Repositories und CI\/CD-Pipelines bis hin zu Container-Registries und Laufzeiten. Diese SBOMs werden in einem zentralen Repository aufbewahrt, um vollst\u00e4ndige Transparenz und kontinuierliches Monitoring zu gew\u00e4hrleisten \u2013 auch nach der Bereitstellung. Die Tools von Anchore unterst\u00fctzen CycloneDX, SPDX und das propriet\u00e4re SBOM-Format von Syft. Das Anbieterunternehmen b\u00fcndelt seine SBOM-Funktionalit\u00e4t in der Plattform Anchore Enterprise 4.0 Software SCM (Supply Chain Management).<\/p>\n

FOSSA<\/a><\/strong><\/p>\n

Die Flaggschiff-Programme von FOSSA sind ein Open Source License Compliance Manager und ein Open Source Vulnerability Scanner. Der Ansatz von FOSSA sieht vor, dass Sie das SBOM-Tool in Ihr bevorzugtes Versionskontrollsystem wie GitHub, BitBucket oder GitLab integrieren. Sie k\u00f6nnen auch die CLI von FOSSA verwenden und das Tool lokal ausf\u00fchren oder es in Ihre CI\/CD-Pipeline integrieren.<\/p>\n

In jedem Fall identifiziert FOSSA im Rahmen eines Projektscans automatisch sowohl direkte als auch indirekte Abh\u00e4ngigkeiten in der Codebasis.<\/p>\n

GitLab (ehemals Rezilion)<\/a><\/strong><\/p>\n

Beim DevSecOps-Anbieter ist SBOM Teil seiner ganzheitlichen Software-Sicherheits- und Schwachstellen-Systeme. Dynamic SBOM verwendet eine dynamische Laufzeitanalyse, um die Angriffsfl\u00e4che Ihrer Software zu monitoren. Es sucht also st\u00e4ndig nach bekannten Schwachstellen in den Komponenten. Neben der Bereitstellung eines Live-Inventars aller Softwarekomponenten in Ihren CI\/CD-, Staging- und Produktionsumgebungen wird Ihre SBOM st\u00e4ndig aktualisiert. Sie k\u00f6nnen Ihre Software Bill of Material im CycloneDX-Format und als Excel-Tabelle exportieren.<\/p>\n

Nach der \u00dcbernahme durch GitLab wurden die SBOM-Funktionalit\u00e4ten von Rezilion im Jahr 2022 in die DevSecOps-Plattform integriert<\/a>.<\/p>\n

Mend<\/a><\/strong><\/p>\n

Fr\u00fcher unter dem Namen WhiteSource bekannt, bietet Mend eine Vielzahl von SCA-Tools (Software Composition Analysis) an. Eine SBOM-Funktionalit\u00e4t ist in das SCA-Toolset integriert. Die L\u00f6sung von Mend ist weniger ein Entwicklerprogramm oder ein CI\/CD-Tool \u2013 sondern vielmehr ein Open-Source-Lizenz- und Sicherheitsmechanismus f\u00fcr Programmierer.<\/p>\n

Mit Hilfe von Mend lassen sich s\u00e4mtliche Softwarekomponenten tracken, direkte und indirekte Abh\u00e4ngigkeiten identifizieren, Schwachstellen aufdecken, Remediationspfade bereitstellen und automatisch SBOM-Eintr\u00e4ge aktualisieren.<\/p>\n

SPDX SBOM Generator<\/a><\/strong><\/p>\n

Dieses eigenst\u00e4ndige Open-Source-Tool tut das, was sein Name verspricht: SPDX-SBOMs aus aktuellen Paketmanagern oder Build-Systemen erstellen. Sie k\u00f6nnen seine CLI verwenden, um SBOM-Daten aus Ihrem Code zu erzeugen. Das Tool erzeugt Berichte \u00fcber Komponenten, Lizenzen, Copyrights und Sicherheitsreferenzen Ihres Codes. Diese Daten werden in der SPDX v2.2-Spezifikation exportiert.<\/p>\n

Start Left Security<\/a><\/strong><\/p>\n

Dieses SBOM-Tool wird als Software-as-a-Service (SaaS) angeboten. Auf der Grundlage einer patentierten, anwendungszentrierten Integrationsmethodik kombiniert das ehemals unter dem Namen TauruSeer bekannte Angebot seine Cognition-Engine-Sicherheits\u00fcberpr\u00fcfung mit SBOM. Das Paket hilft Ihnen, Ihren Code f\u00fcr Ihre Entwickler und Kunden abzusichern und zu tracken.<\/p>\n

Tern Project<\/a><\/strong><\/p>\n

Dieses quelloffene SBOM-Projekt l\u00e4sst sich gut mit SPDX SBOM Generator kombinieren. Anstatt mit Paketmanagern oder Build-Systemen zu arbeiten, erzeugt dieses SCA-Tool und die Python-Bibliothek eine SBOM f\u00fcr Container-Images und Docker-Dateien. Dar\u00fcber hinaus lassen sich auch SBOMs im SPDX-Format erzeugen.<\/p>\n

Vigilant Ops<\/a><\/strong><\/p>\n

Dieser Cybersicherheitsanbieter aus dem Healthcare-Bereich konzentriert sich mit seiner InSight-Plattform auf Software-St\u00fccklisten. Seine SaaS-Plattform generiert und pflegt zertifizierte SBOMs und sorgt f\u00fcr deren authentifizierten Austausch. Sie bietet Sicherheit durch kontinuierliche Schwachstellen\u00fcberwachung. Die SBOM-Zertifizierung verwendet patentierte Algorithmen, um sicherzustellen, dass alle Komponenten validiert und Schwachstellen verlinkt sind.<\/p>\n

Die Sicherheitsfunktionen k\u00f6nnen auch f\u00fcr SBOMs verwendet werden, die von anderen Programmen erstellt wurden. Diese werden sowohl im Ruhezustand als auch w\u00e4hrend der \u00dcbertragung verschl\u00fcsselt.<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Nur wenn Sie wissen, was drinsteckt, k\u00f6nnen Sie sich sicher sein, dass alles mit rechten Dingen zugeht. Das gilt f\u00fcr Fast Food wie f\u00fcr Software. Foto: Geka \u2013 shutterstock.com Um Software abzusichern, muss man wissen, was in ihrem Code steckt. Aus diesem Grund ist eine Software Bill of Material, SBOM oder Software-St\u00fcckliste heute unerl\u00e4sslich. Der […]<\/p>\n","protected":false},"author":0,"featured_media":1951,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5574","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5574"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5574"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5574\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1951"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5574"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5574"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5574"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}