# sbom-management.de

> Umfassender Leitfaden zu SBOM Management (Software Bill of Materials) unter dem EU Cyber Resilience Act (Verordnung 2024/2847). Pflichtinhalte, CycloneDX vs SPDX Formatvergleich, CI/CD-Integration, VEX-Schwachstellenhandling und der 24-Stunden-Meldeprozess. Fuer Hersteller von Produkten mit digitalen Elementen, DevSecOps-Teams und Product Security Engineers.

## Seiten

- [SBOM Management Leitfaden](https://sbom-management.de/): Hauptseite mit CRA-Anforderungen, Formatvergleich, CI/CD-Integration und Tool-Landschaft
- [SBOM Management Guide (English)](https://sbom-management.com/): English version of the SBOM management guide
- [CRA SBOM Compliance Checkliste](https://sbom-management.de/checkliste.html): 5-Phasen-Plan von der Bestandsaufnahme bis zur CE-Konformitaet, mit konkreten Deadlines und Tool-Empfehlungen
- [SBOM Tools im Vergleich](https://sbom-management.de/anbieter-vergleich.html): 12 Open-Source- und kommerzielle SBOM-Tools im Direktvergleich, Entscheidungsmatrix nach Unternehmensgroesse
- [SBOM Glossar](https://sbom-management.de/glossar.html): 25+ Fachbegriffe zu SBOM, CRA, VEX, CycloneDX, SPDX und mehr — praezise und zitierfaehig erklaert

## Abschnitte

- [Was in eine SBOM gehoert](https://sbom-management.de/#sbom-inhalt): NTIA Minimum Elements, Top-Level vs transitive Abhaengigkeiten, purl/CPE
- [CycloneDX vs SPDX](https://sbom-management.de/#cyclonedx-vs-spdx): Formatvergleich, VEX-Integration, Lizenzmetadaten, Oekosystem-Fit
- [SBOM in CI/CD](https://sbom-management.de/#sbom-cicd): Automatische Erzeugung, Signierung mit cosign, Aufbewahrungspflichten
- [Tool-Landschaft](https://sbom-management.de/#sbom-tools): Syft, cdxgen, Trivy, Snyk, Sonatype, JFrog, FOSSA, Anchore, Dependency-Track
- [FAQ](https://sbom-management.de/#faq): Haeufige Fragen zu SBOM-Anforderungen, Formaten und Tools

## Kerndaten

- EU Cyber Resilience Act: Verordnung (EU) 2024/2847, Anhang I Teil 2 Nummer 1
- Volle CRA-Anwendung: 11. Dezember 2027
- CRA-Schwachstellenmeldepflicht: ab 11. September 2026
- Akzeptierte SBOM-Formate: CycloneDX (OWASP), SPDX (Linux Foundation, ISO/IEC 5962:2021)
- Mindestinhalt: Top-Level-Abhaengigkeiten in maschinenlesbarem Format
- Best Practice: vollstaendiger transitiver Abhaengigkeitsgraph mit SHA-256-Hashes
- US-Baseline: Executive Order 14028 (12. Mai 2021)
- CRA-Bussgelder: bis zu 15 Mio. EUR oder 2,5% des weltweiten Jahresumsatzes
- SBOM-Aufbewahrung: mindestens 5 Jahre, orientiert am