Zurück zur Übersicht

Begriff

SBOM (Software Bill of Materials)

Security Supply Chain S3
2 Quellen 0 Lernpfade 0 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Wenn du eine Tiefkühl-Lasagne kaufst, steht hinten drauf: "Mehl, Tomaten, Rindfleisch, E450." Das ist wichtig für Allergiker. Kaufst du Software, steht da oft nur: "Lasagne.exe". Niemand weiß, was drin ist (welche Open-Source-Bibliotheken). Eine SBOM ist die Zutatenliste für Software. Sie listet jede winzige Komponente auf ("Log4j Version 2.14, OpenSSL 1.1.1"). Wenn bekannt wird, dass "Log4j" giftig ist (Sicherheitslücke), weißt du sofort: "Oh Gott, meine Lasagne ist betroffen!"

Merksatz: Eine formelle, maschinenlesbare Bestandsliste aller Komponenten, Bibliotheken und Module, die in einer Software enthalten sind.


Quick-Check

  1. Verhindert SBOM Hacks?
    Nein. Die Zutatenliste macht das Essen nicht gesünder. Aber sie hilft dir, schneller zu reagieren, wenn eine Zutat faul wird.
  2. Ist das Pflicht?
    Für Behörden-Software in den USA: Ja. In der EU (Cyber Resilience Act): Bald ja. Für private Hobby-Projekte: Nein.
  3. Kann man SBOMs fälschen?
    Ja. Deshalb sollten sie kryptografisch signiert sein (Sigstore), damit man beweisen kann, dass die Liste wirklich vom Hersteller kommt.