Wie viel Standard steckt in SBOMs?
CycloneDX und SPDX als SBOM-Formate sind nicht einmal die halbe Miete. Wer SBOMs sinnvoll einsetzen will, muss sich auch mit Standards zur Identifikation von Komponenten und Schwachstellen auseinandersetzen und wissen, was hinter CPE, SWID, PURL und VEX steckt.
Seit die US-amerikanische Regierung die Executive Order 14028 erließ, sind Zulieferer von US-Behörden verpflichtet, ihrer Software eine Software Bill of Materials (SBOM) beizulegen, eine Art Stückliste, die alle Bibliotheken und sonstigen Komponenten auflistet, die im fertigen Produkt stecken [1]. Der geplante Cyber Resilience Act der EU sieht Ähnliches vor, nicht nur für Behörden, sondern auch für die Wirtschaft. Und schon jetzt springen private Unternehmen auf den Zug auf und verlangen SBOMs von ihren Zulieferern.
Damit SBOMs entlang der Lieferkette austauschbar sind, müssen sie standardisiert sein. SPDX und CycloneDX sind die beiden prominentesten Standards für SBOM-Dokumente. Sie sollen sicherstellen, dass jeder Empfänger einer SBOM diese lesen, auswerten und weiterverarbeiten kann. Das funktioniert aber nur dann, wenn die Komponenten in der SBOM eindeutig zuzuordnen sind. Und genau das ist in der Praxis häufig nicht der Fall.