Software Bill of Materials (SBOM)

Eine Software Bill of Materials (SBOM) ist die maschinenlesbare Stückliste aller Komponenten, Versionen und Abhängigkeiten einer Software. Dieser Eintrag ordnet Begriff, SBOM-Inhalt und gängige Formate ein und zeigt, warum eine gepflegte Stückliste in regulierten Branchen zum Pflichtdokument wird.
Eine junge Frau blickt mit zweifelndem, skeptischem Ausdruck zur Seite. Sinnbild für die kritischen Fragen, die eine Software Bill of Materials zu jeder eingesetzten Komponente beantwortet.
© Asier

Was ist eine Software Bill of Materials?

Eine SBOM beantwortet die Frage, welche Bibliotheken, Frameworks und Drittkomponenten in einem Softwareprodukt stecken – inklusive Versionen, Lizenzen und Abhängigkeiten. Im deutschen Sprachgebrauch wird der Begriff oft mit Software-Stückliste oder Komponentenstückliste übersetzt. Im Gespräch hat sich allerdings die englische Abkürzung SBOM durchgesetzt, weil sie sektor- und sprachübergreifend dieselbe Bedeutung trägt.

SBOM in der laufenden Anwendungsbetreuung

Treiber sind zwei Faktoren: regulatorische Pflichten wie der Cyber Resilience Act und der Reaktionsdruck bei akuten Schwachstellen. Wer im Ernstfall in Sekunden wissen will, ob die eigene Anwendung von einer neuen Lücke betroffen ist, kommt ohne saubere Stückliste nicht aus. Wie eine solche Stückliste im Tagesbetrieb gepflegt wird, vertieft der Beitrag zu SBOM-Pflege für KRITIS.

In der laufenden Anwendungsbetreuung wird sie über Maintenance- und Support-Leistungen ständig aktuell gehalten und bei jedem Release über die Continuous-Delivery-Pipeline automatisiert neu erzeugt.

Software-Stückliste im industriellen Vergleich

Eine Software-Stückliste lehnt sich begrifflich an klassische Stücklisten aus der Industrie an. Was im Maschinenbau die Liste aller Schrauben, Wellen und Gehäuseteile ist, ist in der Softwarewelt die Auflistung aller Code-Bausteine. Open-Source-Komponenten und kommerzielle Bibliotheken stehen darin gleichberechtigt nebeneinander. Genau aus diesem industriellen Bezug stammt der Begriff Komponentenstückliste, der häufig synonym genutzt wird.

Was steht in einer Software Bill of Materials?

Was steht in einer Software Bill of Materials, ist über offene Spezifikationen wie CycloneDX und SPDX einheitlich geregelt. Eine vollständige SBOM enthält:

  • Komponentenname und exakte Version
  • Hersteller- oder Projektkennung
  • Lizenzangabe gemäß SPDX-Identifier
  • Abhängigkeitsbeziehungen zwischen Komponenten
  • Hash-Wert zur Integritätsprüfung
  • Beziehungstyp wie direkte oder transitive Abhängigkeit
  • Referenzen auf Schwachstellendatenbanken

Der konkrete SBOM-Inhalt hängt vom gewählten Format ab. CycloneDX (OWASP) ist sicherheitsorientiert und wird häufig zusammen mit Schwachstellen- und VEX-Berichten genutzt. SPDX (Linux Foundation) legt den Schwerpunkt auf Lizenzinformationen und ist im Open-Source-Compliance-Umfeld verbreitet.

Formate, Praxisbezug und Abgrenzung

Welche Formate gibt es für eine SBOM? Praktisch dominieren CycloneDX und SPDX, weil beide vom BSI in der Technischen Richtlinie TR-03183-2 als zulässig anerkannt sind. Eine Software-Stückliste ersetzt weder eine CMDB noch eine technische Dokumentation. Sie liefert genau einen Blick: die innere Komposition eines konkreten Softwarestands.

Erst die Verbindung mit Schwachstellendatenbanken, VEX-Berichten und einem Pflegeprozess macht den SBOM-Inhalt zur belastbaren Risikolandkarte. Genau diese Verbindung erwartet der Cyber Resilience Act ab Dezember 2027 von jedem Hersteller digitaler Produkte – und genau dort liegt der eigentliche Mehrwert einer aktuell gehaltenen Software Bill of Materials.

Gefällt dir, was du siehst? Teile es!