SBOM ist eine Liste aller Komponenten Ihrer Software. Pflicht für US Federal Contractors, nützlich für alle.
Formate¶
- SPDX: Linux Foundation Standard
- CycloneDX: OWASP Standard, sicherheitsorientiert
Generierung¶
Syft — universell¶
syft . -o spdx-json > sbom.spdx.json syft . -o cyclonedx-json > sbom.cdx.json syft myapp:latest -o spdx-json # Docker Image
Trivy¶
trivy fs –format spdx-json -o sbom.json .
npm¶
npx @cyclonedx/cyclonedx-npm –output-file sbom.json
Nutzung von SBOM¶
- Vulnerability Matching (grype sbom.json)
- Lizenz-Compliance
- Incident Response — schnelle Identifikation betroffener Systeme
- Regulatory Compliance (EU CRA, US EO 14028)
Wichtigste Erkenntnis¶
SBOM automatisch in CI/CD generieren. CycloneDX für Sicherheit, SPDX für Lizenzen. Wird bald Pflicht.
securitysbomsupply chaincompliance