Eine Software Bill of Materials ist das, was auf der Verpackung einer Lebensmittelpackung die Zutatenliste ist: eine strukturierte, maschinenlesbare Aufstellung aller Komponenten, aus denen eine Software zusammengesetzt ist, inklusive ihrer Versionen und Abhängigkeiten. Das Konzept stammt aus der Reaktion auf den Log4Shell-Vorfall Ende 2021 und wurde in den USA durch Executive Order 14028 erstmals verbindlich gemacht. Mit dem Cyber Resilience Act zieht die EU nach — und geht in mancher Hinsicht weiter.
Anhang I Teil 2 des CRA verlangt, dass Hersteller „die in den Produkten mit digitalen Elementen enthaltenen Komponenten identifizieren und dokumentieren, einschließlich durch die Erstellung einer Software Bill of Materials in einem gängigen und maschinenlesbaren Format, das zumindest die Top-Level-Abhängigkeiten der Produkte abdeckt.“ Die Anforderung klingt klein, entfaltet aber erhebliche operative Wirkung: Eine SBOM ist kein Excel-Sheet, sondern ein Artefakt, das bei jedem Build neu erzeugt, versioniert, signiert und zusammen mit dem Produkt aufbewahrt werden muss.
Rechtsgrundlage: CRA (Verordnung (EU) 2024/2847), Anhang I Teil 2, Nummer 1
Volle Anwendung CRA: 11. Dezember 2027
Meldepflichten (SBOM relevant für Schwachstellenmeldungen): ab 11. September 2026
Zwei dominierende SBOM-Formate: CycloneDX (OWASP) und SPDX (Linux Foundation, ISO/IEC 5962:2021)
Pflichtinhalt minimal: Top-Level-Abhängigkeiten
Best Practice: vollständige transitive Abhängigkeiten plus Hashwerte
Historisch: U.S. Executive Order 14028 (Mai 2021) war der erste verbindliche SBOM-Trigger
Was in eine SBOM gehört
Die europäische Kommission hat im Entwurf des Durchführungsrechtsakts die Mindestinhalte präzisiert: Jede Komponente muss mit einem Bezeichner (Name und Version), einem Lieferanten (Supplier), einem eindeutigen Package-URL (purl) oder CPE, einem Hashwert (z. B. SHA-256) und dem Lizenztyp beschrieben werden. Zusätzlich müssen die Relationen zwischen Komponenten abgebildet sein — welche Komponente von welcher abhängt.
Der CRA fordert zwingend nur die Top-Level-Abhängigkeiten. In der Praxis genügt das aber nicht: Wenn in einer transitiven Abhängigkeit (also der Abhängigkeit einer Abhängigkeit) eine kritische Schwachstelle entsteht, muss der Hersteller trotzdem innerhalb von 24 Stunden reagieren. Ohne vollständige transitive SBOM ist diese Reaktionszeit schwer einzuhalten.
Eine gute SBOM-Strategie lagert die Tiefe deshalb ins eigene Werkzeug aus: Die ausgelieferte SBOM deckt das Pflichtminimum, intern wird ein vollständiger Abhängigkeitsgraph gepflegt, auf den Vulnerability-Monitoring-Tools zugreifen.
CycloneDX oder SPDX — die Formatfrage
Die beiden großen SBOM-Formate sind CycloneDX und SPDX. CycloneDX wurde von der OWASP Foundation entwickelt, ist bewusst schlank gehalten und deckt neben reiner Abhängigkeitsdokumentation auch Vulnerability Disclosure (VEX), Services und Machine-Learning-Modelle ab. SPDX ist älter, wurde von der Linux Foundation vorangetrieben und ist seit 2021 als ISO/IEC 5962 standardisiert. Es hat seine Stärke in der detaillierten Lizenz- und Urheberrechtsdokumentation.
Für Hersteller, die den CRA erfüllen müssen, sind beide Formate zulässig, solange sie „gängig und maschinenlesbar“ sind. Die Entscheidung fällt daher nach Toolchain: Wer bereits Syft, Trivy oder cdxgen einsetzt, landet meist bei CycloneDX. Wer SPDX aus historischen Gründen pflegt (z. B. Yocto-basierte Embedded-Systeme), bleibt bei SPDX.
Ein Wechsel zwischen den Formaten ist möglich: Tools wie cyclonedx-spdx-cli konvertieren zwischen beiden, allerdings nicht verlustfrei. Wer neu anfängt, sollte CycloneDX bevorzugen, weil die VEX-Integration für das CRA-Schwachstellenhandling deutlich eleganter ist.
SBOM in CI/CD produktiv einbauen
Eine SBOM, die manuell gepflegt wird, ist praktisch wertlos. Die Grundregel lautet: Die SBOM wird bei jedem Build automatisch erzeugt, zusammen mit dem Release-Artefakt signiert, im Artefakt-Repository abgelegt und bei jedem Release dem Produkt beigefügt (z. B. als detachable file im Installer oder als OCI-Artefakt im Container-Registry).
Praxisbewährte Toolketten: Für Container verwenden viele Teams Syft zur Erzeugung und Grype oder Trivy zum kontinuierlichen Schwachstellen-Scan. Für Java/Gradle/Maven existieren die offiziellen CycloneDX-Plugins, für Node.js cdxgen, für Python cyclonedx-python. Die erzeugte SBOM wird anschließend mit cosign signiert und in das gleiche Registry wie das Container-Image gepusht.
Für die CRA-Pflicht reicht das Erzeugen allein nicht. Die SBOM muss zusätzlich einem Asset zugeordnet werden, das über die gesamte Unterstützungszeit des Produkts (mindestens fünf Jahre) aufbewahrt wird. Das ist eine Aufbewahrungspflicht, die typischerweise in das Release-Management integriert werden muss, nicht ins CI-System.
Sofort: Build-Pipeline analysieren, SBOM-Generator (Syft, CycloneDX-CLI, cdxgen) in CI einbauen
Q1 2026: Formatentscheidung CycloneDX oder SPDX, Namespace- und Versionierungsschema festlegen
Q2-Q3 2026: SBOMs an Release-Artefakten ausliefern, in Schwachstellen-Scanner anbinden
11.09.2026: Schwachstellen-Meldeprozess produktiv, SBOM als Input für CSIRT-Meldung nutzbar
11.12.2027: Vollständige SBOM-Pflicht inklusive technischer Dokumentation nach Anhang II
Tools für SBOM Management — eine nüchterne Einordnung
Der Markt für SBOM-Tools ist geteilt. Auf der einen Seite stehen die offenen Generatoren wie Syft, cdxgen, Trivy und die CycloneDX/SPDX-Referenzimplementierungen — diese sind kostenlos, gut gepflegt und reichen für viele Mittelständler als Basis aus. Auf der anderen Seite positionieren sich kommerzielle SBOM-Management-Plattformen, die neben der Erzeugung auch zentrale Verwaltung, Versionsvergleich, Vulnerability-Monitoring und automatische Benachrichtigungen bieten. Dazu zählen unter anderem Snyk, Sonatype Lifecycle, JFrog Xray, FOSSA und Anchore Enterprise.
Die wichtigste Frage ist nicht „welches Tool ist das beste?“, sondern „wie bekomme ich aus einer Schwachstellenmeldung in einer meiner Komponenten innerhalb von 24 Stunden eine belastbare Antwort an das CSIRT?“. Teams, die diese Frage sauber beantworten können, haben den Kern des SBOM-Managements verstanden. Alles andere sind Werkzeugdetails.
Häufig gestellte Fragen
Was ist ein SBOM?
Ein SBOM (Software Bill of Materials) ist eine strukturierte, maschinenlesbare Liste aller Komponenten, aus denen ein Softwareprodukt zusammengesetzt ist, einschließlich Name, Version, Lieferant, Lizenz, Hashwert und der Beziehungen zwischen den Komponenten. Das Konzept wurde 2021 durch die US Executive Order 14028 zum ersten Mal verbindlich und ist unter dem EU Cyber Resilience Act ab 2027 Pflicht für alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden.
Welche SBOM-Formate sind CRA-konform?
Der CRA verlangt ein „gängiges und maschinenlesbares Format“, ohne ein bestimmtes Format vorzuschreiben. In der Praxis bedeutet das: CycloneDX (OWASP) oder SPDX (Linux Foundation, ISO/IEC 5962:2021). CycloneDX ist im DevSecOps-Umfeld am weitesten verbreitet und integriert auch VEX (Vulnerability Exploitability eXchange), SPDX hat die ausgeprägteste Lizenzunterstützung. Beide Formate sind rechtlich gleichwertig anerkannt.
Wer muss SBOMs erstellen?
Unter dem CRA muss jeder Hersteller eine SBOM vorhalten, der ein „Produkt mit digitalen Elementen“ in der EU in Verkehr bringt. Das umfasst Hardware mit Software, eigenständige Software, Firmware und SaaS-Komponenten, die Teil eines lokalen Produkts sind. Auch Importeure und Händler können in bestimmten Konstellationen betroffen sein. Ausgenommen sind rein Cloud-basierte SaaS-Dienste und bereits anderweitig regulierte Produkte wie Medizinprodukte oder Fahrzeuge.
Was gehört in ein SBOM?
Der CRA verlangt als Minimum die Top-Level-Abhängigkeiten. Best Practice ist aber, alle transitiven Abhängigkeiten aufzunehmen. Jede Komponente wird dokumentiert mit Name, Version, eindeutigem Bezeichner (Package-URL/purl oder CPE), Lieferant (Supplier), Lizenztyp, Hashwert (z. B. SHA-256) sowie den Beziehungen zu anderen Komponenten. Zusätzlich sollte die SBOM einen Ersteller-Abschnitt (creation info) enthalten, der Zeitstempel und erstellendes Tool dokumentiert.
Wie oft muss ein SBOM aktualisiert werden?
Eine SBOM gehört zum jeweiligen Build eines Produkts und muss bei jedem Release neu erzeugt werden. Wenn eine Version in Verkehr ist, bleibt die SBOM fixiert — sie ist das Dokument dieser Version. Wenn in einer enthaltenen Komponente nachträglich eine Schwachstelle bekannt wird, wird die SBOM nicht verändert; stattdessen wird sie über ein VEX-Dokument ergänzt, das feststellt, ob das konkrete Produkt durch diese Schwachstelle ausnutzbar ist oder nicht.
Welche Tools eignen sich für SBOM Management?
Für das Erzeugen sind Syft, cdxgen, Trivy und die CycloneDX/SPDX-Referenzimplementierungen (Java, Python, Node, Go) praxisbewährt. Für das Management in größeren Organisationen gibt es kommerzielle Plattformen wie Snyk, Sonatype Lifecycle, JFrog Xray, FOSSA, Anchore Enterprise und Dependency-Track (Open Source, OWASP). Die Auswahl hängt davon ab, ob das Unternehmen nur SBOMs erzeugen oder auch zentral verwalten, monitoren und Alerts an Schwachstellendatenbanken wie NVD anbinden will.