31.10.2025
Open Source
Marcus Lucero
Wenn es um das Management der Cybersicherheit und Software-Compliance geht, ist das Verständnis und die Erstellung von Software-Stücklisten (SBOMs) von entscheidender Bedeutung, insbesondere angesichts der zunehmenden Verwendung von Code von Drittanbietern und Open Source. Die Cybersecurity and Infrastructure Security Agency (CISA) hat sechs Arten von SBOMs definiert, die jeweils mit verschiedenen Phasen des Softwareentwicklungslebenszyklus (SDLC) verbunden sind. Hier finden Sie eine Übersicht über diese SBOM-Arten und wann sie für Ihr Unternehmen nützlich sein könnten.
1. Design SBOM
Eine Design-SBOM repräsentiert die beabsichtigte Architektur und die Komponenten eines Softwareprodukts und wird häufig auf der Grundlage der ursprünglichen Spezifikationen erstellt. Diese SBOM ist nützlich, um Kompatibilitätsprobleme zu erkennen, bevor die Anschaffung oder Entwicklung beginnt. Die Erstellung einer Design-SBOM kann jedoch komplex sein und möglicherweise nicht alle erforderlichen Details erfassen.
2. Source SBOM
Eine Source SBOM wird direkt aus der Entwicklungsumgebung erstellt und gibt Einblick in die während des Build-Prozesses verwendeten Komponenten. Sie hebt Schwachstellen und Abhängigkeiten hervor sowohl direkte als auch transitive, kann jedoch auch ungenutzte Komponenten enthalten, die verwirrend sein können.
3. Build SBOM
Diese SBOM wird während des Build-Prozesses erstellt und bietet eine genauere Darstellung des endgültigen Softwareprodukts. Durch die Integration in CI/CD-Workflows gewährleisten Build-SBOMs Vertrauen durch digitale Signaturen und bieten mehr Transparenz hinsichtlich der kompilierten Komponenten. Allerdings erfordern sie unter Umständen Anpassungen am Build-Prozess und erfassen nicht immer Laufzeit- oder dynamisch verknüpfte Abhängigkeiten.
4. Analyzed SBOM
Eine Analyzed SBOM, die durch eine Analyse der Artefakte nach der Erstellung generiert wird, kann besonders für Legacy-Systeme hilfreich sein, für die keine Entwicklungsumgebungen mehr existieren. Sie hilft bei der Überprüfung anderer SBOMs, kann jedoch auf Heuristiken basieren, die zu Fehlern führen können.
5. Deployed SBOM
Diese SBOM erfasst diejenigen Softwarekomponenten, wie sie auf einem bereitgestellten System vorhanden sind, und eignet sich daher ideal für Systeme, bei denen Laufzeitkonfigurationen eine Rolle spielen. Allerdings spiegelt sie möglicherweise nicht vollständig wider, was tatsächlich ausgeführt wird.
6. Runtime SBOM
Eine Runtime SBOM erfasst nur das, was aktiv im System ausgeführt wird, und erfasst dynamisch geladene Komponenten und externe Interaktionen. Dieser SBOM-Typ ist für die Anwendungssicherheit von unschätzbarem Wert, für die Einhaltung von Urheberrechts- oder Lizenzbestimmungen jedoch möglicherweise nicht ideal.
Auswahl der richtigen SBOM für Ihr Unternehmen
Die Wahl des besten SBOM-Typs hängt von Ihrem spezifischen Anwendungsfall und Ihrem Risikoprofil ab. Wenn Sie sich auf Compliance oder den Schutz geistigen Eigentums konzentrieren, sind Source- und Build-SBOMs möglicherweise die richtige Wahl für Sie. Für Echtzeit-Sicherheitsinformationen bieten Runtime-SBOMs einen dynamischen Einblick in das Verhalten Ihres Systems.
Ganz gleich, ob Sie sich mit der Due Diligence bei Firmenfusionen und -übernahmen befassen oder sensible Systeme schützen möchten – der Einsatz der richtigen SBOM-Tools ist entscheidend für die Aufrechterhaltung von Cybersicherheit und Compliance. Die Services von Bitsea helfen Ihnen bei der Erstellung umfassender SBOMs, damit Sie die Kontrolle über Ihre Softwarekomponenten behalten.
Möchten Sie mehr über die Einhaltung von Open-Source-Compliance erfahren? Nehmen Sie Kontakt mit uns auf – vereinbaren Sie noch heute einen Termin für ein Gespräch mit einem unserer Experten.
Quellenangaben:
CISA.gov. “Types of Software Bill of Materials (SBOM) Documents.” Types of Software Bill of Material (SBOM) Documents, www.cisa.gov/sites/default/files/2023-04/sbom-types-document-508c.pdf. Accessed 16 Oct. 2024.
National Telecommunications and Information Administration. “The Minimum Elements For a Software Bill of Materials” https://www.ntia.doc.gov/files/ntia/publications/sbom _minimum_elements_report.pdf. Accessed 05 Nov. 2024.