Wie der neue SBOM-Standard das Software-Lieferketten-Management verändert und warum das für Ihre CRA-Compliance entscheidend ist.
Bitsea GmbH · Juli 2026 · Lesezeit: ca. 8 Minuten
Einleitung: Ein Standard im Umbruch
Die Software Bill of Materials (SBOM) hat sich in den letzten Jahren vom Nischenthema zur regulatorischen Pflicht entwickelt. Mit dem EU Cyber Resilience Act (CRA) wird die maschinenlesbare Stückliste für Software zur Voraussetzung, um Produkte mit digitalen Elementen überhaupt noch auf den europäischen Markt bringen zu dürfen. Wer heute Software herstellt, vertreibt oder integriert, kommt an SBOMs nicht mehr vorbei.
Parallel dazu entwickelt sich der wichtigste SBOM-Standard weiter: SPDX (System Package Data Exchange), gepflegt unter dem Dach der Linux Foundation und als ISO/IEC 5962 international anerkannt, steht mit Version 3.1 vor dem nächsten großen Schritt. Ende Januar 2026 wurde der erste Release Candidate (3.1-RC1) veröffentlicht. Die finale Version wird im Laufe des Jahres erwartet.
Bei Bitsea haben wir die Entwicklung von SPDX 3.x von Anfang an eng verfolgt – und Curator Pro, unsere Plattform für SBOM-Management, Lizenz-Compliance und Schwachstellenmanagement, konsequent auf das neue Datenmodell ausgerichtet. In diesem Artikel erklären wir, was SPDX 3.1 bringt, was das für Unternehmen konkret bedeutet und wie Curator Pro Sie dabei unterstützt, den Übergang souverän zu meistern.
Vom Dokument zum Wissensgraphen: Was SPDX 3.x grundlegend ändert
Um SPDX 3.1 einzuordnen, lohnt ein kurzer Blick zurück. SPDX 2.x – noch immer die im Feld am weitesten verbreitete Version – ist dokumentenzentriert aufgebaut: Ein SPDX-Dokument beschreibt als geschlossener „Umschlag“ eine Menge von Paketen, Dateien und Snippets. Das funktioniert gut für den klassischen Anwendungsfall „eine SBOM pro Release“, stößt aber an Grenzen, sobald Informationen aus verschiedenen Quellen zusammengeführt, über Versionen hinweg verfolgt oder granular referenziert werden sollen.
SPDX 3.0 (April 2024) hat diese Architektur grundlegend umgebaut. Das neue Modell ist elementbasiert: Jedes Element – ob Paket, Datei, Schwachstelle, Person oder Organisation – existiert eigenständig, trägt eine weltweit eindeutige ID und wird über typisierte Relationen mit anderen Elementen verknüpft. Aus der flachen Stückliste wird ein Graph. Ergänzt wird das Modell durch Profile, die das Datenmodell nach Anwendungsfällen gliedern: Core, Software, Licensing, Security, Build, AI, Dataset und Lite.
SPDX 3.1 führt diesen Weg konsequent weiter – und erweitert den Standard deutlich über reine Software hinaus.
Die wichtigsten Neuerungen in SPDX 3.1
Der Release Candidate 3.1-RC1 zeigt die Richtung klar: SPDX wird zum universellen BOM-Standard für ganze Systeme. Die zentralen Erweiterungen im Überblick:
Hardware-Profil (HBOM): SPDX 3.1 kann erstmals Hardware-Komponenten nativ beschreiben. Für Hersteller von Embedded-Systemen, IoT-Geräten und Produkten mit digitalen Elementen – also genau die Zielgruppe des CRA – lassen sich Software- und Hardware-Stückliste künftig in einem konsistenten Modell abbilden. Ein einzelnes Element kann dabei gleichzeitig mehrere Rollen einnehmen, etwa als Hardware-Chip und als Träger eines Kryptografie-Algorithmus.
Supply-Chain-Profil: Lieferketten-Ereignisse wie Transport, Übergaben und Herkunftsnachweise werden Teil des Standards. Damit rückt SPDX näher an das heran, was Regulierungen wie CRA und NIS-2 eigentlich verlangen: Transparenz über die gesamte Lieferkette, nicht nur über den Quellcode.
Safety/Design-Assurance: Anforderungen und Sicherheitsnachweise (im Sinne funktionaler Sicherheit) können als Elemente modelliert und mit Komponenten verknüpft werden – relevant für Automotive, Luftfahrt, Medizintechnik und Industrieautomation.
Kryptografie und CBOM: SPDX 3.1 bringt eine kuratierte Liste von über 130 geprüften Kryptografie-Algorithmen mit – methodisch angelehnt an die etablierte SPDX License List. Für Unternehmen, die sich auf Post-Quantum-Migration und Krypto-Inventarisierung vorbereiten, ist das ein wichtiger Baustein: Die Cryptography Bill of Materials (CBOM) bekommt damit auch im SPDX-Ökosystem ein solides Fundament.
KI-Transparenz: Das AI/Dataset-Profil wird um drei Elementtypen erweitert, die für moderne KI-Systeme unverzichtbar sind: AI Agent, Prompt und RAG (Retrieval-Augmented Generation). Damit lässt sich dokumentieren, wie ein KI-System aufgebaut ist – von klassischen Modellen über generative KI bis zu agentischen Architekturen. Mit Blick auf den EU AI Act und dessen Transparenzpflichten ist das ein Blick in die nahe Zukunft der Compliance-Anforderungen.
Services: Auch Dienste (etwa SaaS-Abhängigkeiten) werden beschreibbar – ein Schritt in Richtung SaaSBOM.
Wichtig für die Planung: Der RC1 ist ausdrücklich zum Testen und Validieren gedacht. Einzelne Features können sich bis zum finalen Release noch ändern. Das Kernmodell – Elemente, Relationen, Profile – ist jedoch stabil und trägt bereits heute produktive Architekturentscheidungen.
Was bedeutet das für Ihr Unternehmen?
Aus Management-Sicht lassen sich drei Konsequenzen ableiten:
1. SBOM wird zur System-BOM. Die Zeiten, in denen eine SBOM eine einfache Liste von Open-Source-Paketen war, gehen zu Ende. Regulatoren und Kunden erwarten zunehmend ein vollständiges Bild: Software, Hardware, Kryptografie, KI-Komponenten, Lieferkette. Wer seine Prozesse und Werkzeuge heute nur auf „Paketliste pro Release“ ausrichtet, baut technische Schulden auf.
2. Der Lebenszyklus rückt in den Mittelpunkt. Eine SBOM ist kein statisches Dokument, sondern ein lebendes Artefakt: Sie entsteht im Build, wird durch Scans angereichert, mit Schwachstellendaten (VEX/VDR) verknüpft, bei jedem Release aktualisiert und muss über Jahre hinweg auskunftsfähig bleiben – der CRA verlangt Support-Zeiträume und Meldepflichten, die ohne gepflegte, versionierte BOM-Daten schlicht nicht erfüllbar sind. Das Graphmodell von SPDX 3.x ist die technische Antwort auf genau diese Anforderung.
3. Interoperabilität wird zum Auswahlkriterium. In der Praxis begegnen Ihnen SPDX 2.3, SPDX 3.x und CycloneDX nebeneinander – Ihre Zulieferer liefern, was ihre Werkzeuge hergeben. Eine zukunftsfähige SBOM-Plattform muss alle relevanten Formate importieren, konsolidieren und in dem Format exportieren können, das Ihr Kunde oder Ihre benannte Stelle verlangt.
Curator Pro: Gebaut für den BOM-Lebenszyklus nach SPDX 3.x
Genau an diesem Punkt setzt Curator Pro an. Unsere Plattform wurde nicht als Dokumentenverwaltung für SBOM-Dateien konzipiert, sondern als Lifecycle-Management-System auf Basis eines Element-Graphmodells – architektonisch also bereits so gedacht, wie SPDX 3.x die Welt beschreibt.
Element-Graph statt Dateiablage. Curator Pro speichert Komponenten, Lizenzen, Schwachstellen und ihre Beziehungen als Graph in einer mandantenfähigen PostgreSQL-Architektur. Komponenten werden über Package-URLs (PURL) eindeutig identifiziert und dedupliziert – dieselbe Bibliothek in zwanzig Produkten ist ein Wissensobjekt, nicht zwanzig Kopien. Änderungen an Bewertungen, Lizenzeinstufungen oder Schwachstellenstatus wirken damit konsistent über das gesamte Portfolio.
Der komplette BOM-Lebenszyklus. Von der Erzeugung über Import und Anreicherung (Scanner-Integrationen mit ScanCode.io und FOSSology, Schwachstellendaten aus offenen Quellen) über Kuratierung, Review und Freigabe bis zu Export, Archivierung und Nachweisführung: Curator Pro bildet den gesamten Prozess ab – dokumentiert, nachvollziehbar, auditierbar.
CRA-Compliance integriert. Curator Pro enthält ein CRA-Compliance-Modul mit einem Kontrollkatalog, der die Anforderungen aus Anhang I (Teil I und II), den Melde- und Dokumentationspflichten der Artikel 13 und 14 sowie den technischen Unterlagen nach Anhang VII strukturiert abbildet. SBOM, VEX/VDR und Schwachstellenmanagement sind dabei keine getrennten Silos, sondern verzahnte Bestandteile eines Compliance-Nachweises.
SPDX 3.1 im Blick. Unsere Konzeption für das BOM-Lifecycle-Management orientiert sich bereits am SPDX-3.x-Elementmodell. Den Release Candidate 3.1 validieren wir derzeit gegen unsere Datenarchitektur – mit dem Ziel, dass Curator Pro zum finalen Release importier- und exportfähig ist. Für unsere Kunden heißt das: Sie können heute mit SPDX 2.3 und CycloneDX produktiv arbeiten und wachsen mit dem Standard mit, ohne Datenmigration und ohne Werkzeugwechsel.
Roadmap über die SBOM hinaus. Die Erweiterungen von SPDX 3.1 decken sich mit unserer Produkt-Roadmap: SBOM plus VEX/VDR bilden das CRA-Fundament, die CBOM (Kryptografie-Inventar) ist als nächster Ausbauschritt in Arbeit, AI-BOM und SaaSBOM folgen mittelfristig. Mit Kurt, dem integrierten KI-Assistenten von Curator Pro, unterstützen wir Compliance-Teams zudem bei Analyse und Bewertung – selbstverständlich mit klaren Datenkontrollregeln.
Praktische Empfehlungen für den Übergang
Was sollten Sie jetzt tun? Unsere Empfehlung aus der Projektpraxis:
Bestandsaufnahme: Welche SBOM-Formate und -Versionen produzieren und empfangen Sie heute? SPDX 2.3 wird noch lange im Umlauf sein – planen Sie für Koexistenz, nicht für einen harten Umstieg.
Prozesse vor Formaten: Definieren Sie zuerst Ihren BOM-Lebenszyklus (Erzeugung, Anreicherung, Freigabe, Pflege, Archivierung) und Ihre Verantwortlichkeiten. Das Format ist dann eine Ausgabefrage.
Graphfähigkeit prüfen: Fragen Sie Ihre Werkzeuganbieter, wie sie mit dem elementbasierten Modell von SPDX 3.x umgehen. Wer intern nur Dateien verwaltet, wird die Stärken des neuen Standards nicht ausspielen können.
RC1 evaluieren, aber nicht produktiv erzwingen: Nutzen Sie den Release Candidate für Tests und Architekturentscheidungen. Produktive Verpflichtungen gegenüber Kunden sollten Sie erst auf die finale 3.1 stützen.
CRA-Fristen im Blick behalten: Die Meldepflichten und die vollständige Anwendbarkeit des CRA kommen schneller, als viele denken. Eine belastbare SBOM- und Schwachstellenmanagement-Infrastruktur ist dafür die Grundvoraussetzung – unabhängig davon, wann SPDX 3.1 final wird.
Fazit
SPDX 3.1 markiert den Übergang der SBOM von der Software-Stückliste zum System-Wissensgraphen: Hardware, Lieferkette, Kryptografie und KI werden Teil eines gemeinsamen Standards. Für Unternehmen, die unter den CRA fallen, ist das eine gute Nachricht – vorausgesetzt, ihre Werkzeuge und Prozesse können mitwachsen.
Curator Pro wurde von Anfang an für genau dieses Zielbild gebaut: ein elementbasiertes Graphmodell, vollständiges Lifecycle-Management, integrierte CRA-Compliance und Formatoffenheit von SPDX 2.3 über CycloneDX bis SPDX 3.x. Wir begleiten den Standard aktiv durch die Release-Candidate-Phase, damit unsere Kunden am Tag des finalen Release startklar sind.
Sie möchten wissen, wie Ihr Unternehmen den Übergang zu SPDX 3.x und die CRA-Anforderungen konkret angehen kann? Sprechen Sie uns an – wir zeigen Ihnen Curator Pro gern in einer persönlichen Demo.
Nächster Beitrag
