Wer sich mit SBOM Management unter dem Cyber Resilience Act beschäftigt, steht vor einer unübersichtlichen Toollandschaft. Es gibt Dutzende Werkzeuge, aber sie lösen unterschiedliche Probleme. Die entscheidende Unterscheidung: SBOM-Generatoren erzeugen die Software-Stückliste aus Quellcode, Build-Artefakten oder Container-Images. SBOM-Management-Plattformen nehmen diese SBOMs entgegen, speichern sie zentral, korrelieren sie mit Schwachstellendatenbanken und ermöglichen Richtlinien-basierte Workflows.
Viele Unternehmen brauchen beides: einen Generator in der CI/CD-Pipeline und eine Plattform für die zentrale Verwaltung. Einige kommerzielle Anbieter bündeln beide Funktionen, was die Auswahl vereinfacht — aber auch die Abhängigkeit erhöht.
Open-Source-Generatoren: Syft (Anchore), cdxgen (CycloneDX), Trivy (Aqua Security), CycloneDX CLI, Grype (Anchore)
Open-Source-Management: Dependency-Track (OWASP) — einzige kostenlose Plattform mit vollständigem SBOM-Lifecycle
Kommerzielle Plattformen: Snyk, Sonatype Lifecycle, JFrog Xray, FOSSA, Anchore Enterprise, Mend (ehem. WhiteSource)
Dominierende Formate: CycloneDX 1.6 und SPDX 2.3 (ISO/IEC 5962:2021)
CRA-Kontext: Kein Tool allein deckt alle organisatorischen CRA-Pflichten ab
Hauptvergleich: 12 SBOM-Tools im Überblick
Die folgende Tabelle vergleicht die wichtigsten Funktionen aller relevanten Tools. „Erzeugt SBOM" bedeutet, dass das Tool selbst SBOMs aus Quellcode oder Artefakten generieren kann. „Verwaltet SBOM" bedeutet, dass importierte SBOMs zentral gespeichert, versioniert und durchsucht werden können. Die Preiskategorien beziehen sich auf typische Unternehmensgrößen von 50 bis 500 Entwicklern.
| Tool | Typ | Erzeugt SBOM | Verwaltet SBOM | CycloneDX | SPDX | VEX | CI/CD | Vuln-Monitoring | Preis-Kategorie |
|---|---|---|---|---|---|---|---|---|---|
| Syft | OS | ✓ | — | ✓ | ✓ | — | ✓ | — | Kostenlos |
| cdxgen | OS | ✓ | — | ✓ | — | ✓ | ✓ | — | Kostenlos |
| Trivy | OS | ✓ | — | ✓ | ✓ | — | ✓ | ✓ | Kostenlos |
| CycloneDX CLI | OS | ✓ | — | ✓ | — | ✓ | ✓ | — | Kostenlos |
| Grype | OS | — | — | ✓ | ✓ | — | ✓ | ✓ | Kostenlos |
| Dependency-Track | OS | — | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | Kostenlos (Self-Hosting) |
| Snyk | Kommerziell | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | Ab ~25.000 €/Jahr |
| Sonatype Lifecycle | Kommerziell | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | Ab ~30.000 €/Jahr |
| JFrog Xray | Kommerziell | ✓ | ✓ | ✓ | ✓ | — | ✓ | ✓ | Ab ~40.000 €/Jahr |
| FOSSA | Kommerziell | ✓ | ✓ | ✓ | ✓ | — | ✓ | ✓ | Ab ~20.000 €/Jahr |
| Anchore Enterprise | Kommerziell | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | Ab ~35.000 €/Jahr |
| Mend | Kommerziell | ✓ | ✓ | ✓ | ✓ | — | ✓ | ✓ | Ab ~25.000 €/Jahr |
Ein paar Erläuterungen: Grype ist kein SBOM-Generator, sondern ein Schwachstellen-Scanner, der SBOMs als Input akzeptiert — deshalb das Häkchen bei Vuln-Monitoring, aber nicht bei Erzeugung. Dependency-Track erzeugt ebenfalls keine SBOMs, ist aber die zentrale Open-Source-Plattform für deren Verwaltung. Die kommerziellen Plattformen integrieren Erzeugung und Verwaltung in einer Oberfläche, was den Einstieg vereinfacht, aber die Flexibilität bei der Wahl des Generators einschränkt.
Bei den Formaten fällt auf: CycloneDX wird von allen Tools unterstützt. SPDX-Support ist bei cdxgen und CycloneDX CLI nicht vorhanden, was logisch ist — beide sind CycloneDX-native Werkzeuge. Für Unternehmen, die SPDX benötigen (z. B. wegen Yocto-basierten Embedded-Produkten), schränkt das die Auswahl auf der Open-Source-Seite auf Syft und Trivy ein.
Entscheidungsmatrix nach Unternehmensgröße
Die Toolwahl hängt weniger von Features ab als von der Anzahl der zu verwaltenden Produkte und der vorhandenen Infrastruktur. Die folgende Matrix gibt Orientierung:
| Szenario | Empfohlene Kombination | Kosten |
|---|---|---|
| Startup (1 Produkt, kleines Team) | Syft + Grype + GitHub Actions | Kostenlos |
| Mittelstand (5-10 Produkte) | cdxgen oder Trivy + Dependency-Track | Kostenlos (Self-Hosting-Aufwand) |
| Konzern (100+ Repositories) | Snyk oder Sonatype Lifecycle + Dependency-Track als Aggregator | Ab ca. 50.000 €/Jahr |
Für Startups ist der Einstieg denkbar einfach: Syft erzeugt in einer GitHub Action eine CycloneDX-SBOM, Grype prüft sie auf bekannte Schwachstellen. Das Ergebnis wird als Build-Artefakt abgelegt. Kosten: null Euro, Einrichtungszeit: unter einer Stunde.
Im Mittelstand steigt die Komplexität. Bei fünf bis zehn Produkten mit jeweils eigenen Dependency-Bäumen braucht man eine zentrale Stelle, die alle SBOMs aggregiert und Schwachstellen-Alerts korreliert. Dependency-Track füllt genau diese Lücke. Der Aufwand liegt im Self-Hosting: PostgreSQL-Datenbank, ausreichend RAM (mindestens 8 GB für die API-Server-Instanz), regelmäßige Updates der Vulnerability-Datenbanken.
Im Konzern-Umfeld rechtfertigt die Masse an Repositories den Einsatz einer kommerziellen Plattform. Snyk und Sonatype bieten beide automatische PR-Erstellung bei neuen Schwachstellen, Lizenz-Compliance-Prüfung und Integration in Jira/ServiceNow. Einige Konzerne betreiben zusätzlich Dependency-Track als internen Aggregator, um Vendor-Lock-in zu begrenzen.
CRA-Pflichten-Abdeckung durch SBOM-Tools
Der CRA definiert konkrete Pflichten rund um Software-Transparenz. Die Frage ist: Welche davon kann ein Tool technisch unterstützen, und welche sind organisatorische Aufgaben, die kein Tool abnimmt?
| CRA-Pflicht | Syft | Trivy | Dep-Track | Snyk | Sonatype |
|---|---|---|---|---|---|
| SBOM-Erzeugung (Anhang I, Teil 2) | ✓ | ✓ | — | ✓ | ✓ |
| Aufbewahrung 5+ Jahre | — | — | ✓ | ✓ | ✓ |
| Schwachstellen-Meldung 24h (Art. 14) | — | ✓ | ✓ | ✓ | ✓ |
| VEX-Dokumente | — | — | ✓ | ✓ | ✓ |
| Technische Dok. Anhang II | — | — | — | — | — |
Die letzte Zeile ist die wichtigste: Kein Tool erstellt automatisch die technische Dokumentation nach Anhang II des CRA. Dieser Anhang verlangt unter anderem eine Beschreibung des Designs und der Entwicklung des Produkts, eine Risikobewertung der Cybersicherheit, Testberichte und Informationen über den Umgang mit Schwachstellen während des gesamten Produktlebenszyklus. Das ist ein Dokumentationsaufwand, der im Qualitätsmanagement oder der Produktdokumentation liegt — nicht in der Toolchain.
Auch die 24-Stunden-Meldepflicht bei aktiv ausgenutzten Schwachstellen (Artikel 14 CRA) ist nur halb technisch lösbar. Tools wie Dependency-Track, Snyk und Sonatype können einen Alert auslösen, wenn eine Schwachstelle in einer Komponente bekannt wird. Aber die Bewertung, ob das eigene Produkt betroffen ist, die Erstellung des VEX-Statements und die Meldung an das zuständige CSIRT sind menschliche Aufgaben mit definierten Verantwortlichkeiten.
Was kein Tool abdeckt
Die CRA-Compliance hat drei Ebenen: Technik, Prozess und Organisation. SBOM-Tools bedienen die technische Ebene. Aber sie ersetzen weder den Incident-Response-Prozess, der bei einer kritischen Schwachstelle innerhalb von 24 Stunden eine Erstmeldung an die ENISA-Plattform liefert, noch die juristische Prüfung, ob ein Produkt überhaupt in den Anwendungsbereich des CRA fällt, noch die Risikobewertung, die für jede Produktkategorie (Default, Klasse I, Klasse II) durchzuführen ist.
Wer ein SBOM-Tool evaluiert, sollte daher nicht fragen „welches hat die meisten Features?", sondern: Kann mein Team mit diesem Tool innerhalb von 24 Stunden auf eine Schwachstellenmeldung in einer beliebigen Komponente reagieren — mit einer belastbaren Aussage, ob unser Produkt betroffen ist? Wenn die Antwort ja lautet, ist das Tooling ausreichend. Alles andere ist Optimierung.
Häufig gestellte Fragen
Brauche ich ein kommerzielles SBOM-Tool oder reichen Open-Source-Lösungen?
Open-Source-Tools wie Syft, cdxgen und Trivy erzeugen SBOMs in Produktionsqualität und sind für die reine Generierungspflicht des CRA ausreichend. Kommerzielle Plattformen werden relevant, wenn ein Unternehmen Dutzende oder Hunderte Produkte zentral verwalten, Schwachstellen automatisiert korrelieren und VEX-Workflows über Teams hinweg koordinieren muss. Die Faustregel: Unter 10 Produkte starten mit Open Source; ab 50+ Produkten lohnt sich eine kommerzielle Plattform oder ein dediziertes Dependency-Track-Deployment.
Kann ein einzelnes Tool alle CRA-SBOM-Pflichten abdecken?
Kein einzelnes Tool deckt alle CRA-Pflichten ab. Die SBOM-Erzeugung ist der technisch einfachste Teil. Die Aufbewahrungspflicht von mindestens fünf Jahren erfordert ein Artefakt-Management-System, die 24-Stunden-Meldepflicht einen definierten Incident-Response-Prozess, und die technische Dokumentation nach Anhang II ist ein organisatorisches Thema. Tools liefern Datengrundlagen — die Compliance-Prozesse müssen im Unternehmen aufgebaut werden.
Wie unterscheiden sich Dependency-Track und Snyk bei SBOM Management?
Dependency-Track ist ein Open-Source-Projekt der OWASP Foundation, das sich auf SBOM-Ingestion, Vulnerability-Korrelation und Policy-Management spezialisiert hat. Es wird selbst gehostet und ist kostenlos. Snyk ist eine kommerzielle SaaS-Plattform, die SCA (Software Composition Analysis), Container-Scanning und SBOM-Erzeugung integriert. Der Hauptunterschied: Dependency-Track ist ein reines SBOM-Management-Tool, Snyk eine breite DevSecOps-Plattform mit SBOM als einer Funktion unter vielen.