SBOM ist eine Liste aller Komponenten Ihrer Software. Pflicht für US Federal Contractors, nützlich für alle.

Formate¶

• SPDX: Linux Foundation Standard
• CycloneDX: OWASP Standard, sicherheitsorientiert

Generierung¶

SBOM-Generierung — Software Bill of Materials¶

syft . -o spdx-json > sbom.spdx.json syft . -o cyclonedx-json > sbom.cdx.json syft myapp:latest -o spdx-json # Docker Image

Trivy¶

trivy fs –format spdx-json -o sbom.json .

npm¶

npx @cyclonedx/cyclonedx-npm –output-file sbom.json

Nutzung von SBOM¶

• Vulnerability Matching (grype sbom.json)
• Lizenz-Compliance
• Incident Response — schnelle Identifikation betroffener Systeme
• Regulatory Compliance (EU CRA, US EO 14028)

Wichtigste Erkenntnis¶

SBOM automatisch in CI/CD generieren. CycloneDX für Sicherheit, SPDX für Lizenzen. Wird bald Pflicht.