Supply Chain Security: Wie viel Standard steckt in SBOMs?

Wer SBOMs sinnvoll einsetzen will, muss sich mit Standards zur Identifikation von Komponenten und Schwachstellen auseinandersetzen. Wir geben einen Überblick.

Artikel verschenken

x

11.08.2023, 14:30 Uhr

Lesezeit: 16 Min.

iX Magazin

Von

Gunnar Braun

Supply Chain Security: Wie viel Standard steckt in SBOMs?
- Komponenten identifizieren
Die Formate
Schwachstellen erkennen
Vulnerability Exploitability Exchange (VEX)
Fazit

Artikel in iX 9/2023 lesen

Seit die US-amerikanische Regierung die Executive Order 14028 erließ, sind Zulieferer von US-Behörden verpflichtet, ihrer Software eine Software Bill of Materials (SBOM) beizulegen, eine Art Stückliste, die alle Bibliotheken und sonstigen Komponenten auflistet, die im fertigen Produkt stecken.

Der geplante Cyber Resilience Act der EU sieht Ähnliches vor, nicht nur für Behörden, sondern auch für die Wirtschaft. Und schon jetzt springen private Unternehmen auf den Zug auf und verlangen SBOMs von ihren Zulieferern.

Gunnar Braun ist Technical Account Manager for Application Security Solutions bei Synopsys.

Damit SBOMs entlang der Lieferkette austauschbar sind, müssen sie standardisiert sein. SPDX und CycloneDX sind die beiden prominentesten Standards für SBOM-Dokumente. Sie sollen sicherstellen, dass jeder Empfänger einer SBOM diese lesen, auswerten und weiterverarbeiten kann. Das funktioniert aber nur dann, wenn die Komponenten in der SBOM eindeutig zuzuordnen sind. Und genau das ist in der Praxis häufig nicht der Fall.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Vektor-Icons für die eigene Website generieren: Bild-KIs im Test

Bild-KIs können nun auch Vektor-Dateien erstellen. Diese eignen sich besonders für Websites. Wir stellen Illustrator, Logoist 5 und Recraft vor.

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Innovative,Ai,Robot,Tutor,Helping,A,Teenage,Boy,With,Homework,

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

ChatGPT optimieren

Boox Note Air3 C im Test: Hybrid-Tablet mit farbigem E-Paper-Display

Boox Note Air3 C ist ein E-Reader und digitaler Notizblock, mit dem man lesen, schreiben und zeichnen kann. Er ist offen für (Hör-)Bücher aus vielen Quellen.

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Im Herbst 2024 steht unweigerlich wieder eine frische Windows-Version mit einem Schwung neuer Funktionen an. Was drinsteckt, ist bereits gut zu erkennen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Daten transportieren oder Backups erstellen klappt mit modernen Flash-Medien ratzfatz. Wem eine USB-SSD zu groß ist, der greift zum Stick.

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

ChatGPT optimieren

Das Bild zeigt zwei Kreditkarten von Mastercard und Visa.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

ETF: So sicher ist der MSCI World

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Mobilprozessoren rechnen dank KI-Beschleunigern, Hybrid-Kernen und Chiplet-Aufbau immer schneller und effizienter. Wir helfen, den passenden Chip zu finden.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Supply Chain Security: Wie viel Standard steckt in SBOMs?

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Vektor-Icons für die eigene Website generieren: Bild-KIs im Test

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Boox Note Air3 C im Test: Hybrid-Tablet mit farbigem E-Paper-Display

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.