Blackfort Technology
SBOM & Dependency Management
Supply Chain Security

Software Supply Chain Security

SBOM & Dependency Management

Vollständige Transparenz über Ihre Software-Komponenten. SBOM-Erstellung, Schwachstellenanalyse und kontinuierliches Dependency-Monitoring.

SBOM-Service anfragen

Was ist ein SBOM?

Eine Software Bill of Materials (SBOM) ist ein vollständiges Inventar aller Komponenten, Bibliotheken und Abhängigkeiten einer Software-Anwendung. Analog zum Zutatenliste eines Lebensmittels gibt eine SBOM Transparenz darüber, was in Ihrer Software steckt – und welche Schwachstellen bekannt sind.

Regulatorische Anforderungen

Der Cyber Resilience Act verpflichtet Hersteller vernetzter Produkte zur Bereitstellung einer SBOM. NIS2 fordert Supply Chain Security. Executive Order 14028 (USA) schreibt SBOMs für Software vor, die an US-Behörden geliefert wird. Wir helfen Ihnen, diese Anforderungen effizient zu erfüllen.

Kontinuierliches Monitoring

Eine einmalige SBOM-Erstellung reicht nicht. Abhängigkeiten ändern sich, neue Schwachstellen werden bekannt. Unser SBOM-as-a-Service bietet kontinuierliches Monitoring: Sobald eine Schwachstelle in einer Ihrer Komponenten bekannt wird, werden Sie informiert – mit Risikoeinschätzung und Handlungsempfehlung.

SBOM-Formate: CycloneDX und SPDX im Vergleich

CycloneDX ist das vom Cyber Resilience Act und von OWASP empfohlene Format mit starkem Fokus auf Sicherheitsanwendungen: CVE-Matching, VEX (Vulnerability Exploitability eXchange) und License-Compliance sind nativ integriert. SPDX (Software Package Data Exchange) ist der ältere ISO-Standard mit breiter Open-Source-Adoption – und häufig Anforderung für Lieferanten, die US-Behörden beliefern. Wir erstellen SBOMs in beiden Formaten und unterstützen bei der Konvertierung zwischen den Standards, abhängig von Ihrer Zielgruppe und den regulatorischen Anforderungen.

Typische Einsatzszenarien

Medizinproduktehersteller vor CRA-Stichtag

Ein Hersteller vernetzter Medizinprodukte muss zum CRA-Stichtag eine maschinenlesbare SBOM für alle Produktvarianten bereitstellen. Wir automatisieren die SBOM-Generierung aus den vorhandenen Build-Systemen (Maven, npm, pip) und integrieren SBOM-Erstellung in die CI/CD-Pipeline – inklusive CRA-konformem Format und Update-Prozess.

SaaS-Anbieter mit Enterprise-Kunden-Anforderung

Ein SaaS-Anbieter wird von einem Enterprise-Kunden mit einer SBOM-Anforderung für das Sicherheits-Onboarding konfrontiert. Ohne bestehenden Prozess dauert die manuelle Erstellung Wochen. Wir implementieren einen automatisierten SBOM-Prozess, der bei jedem Release eine aktuelle SBOM bereitstellt – CycloneDX für Sicherheitsanalyse, SPDX für License-Compliance.

IT-Dienstleister mit Nachweis-Anforderung gegenüber Kunden

Ein IT-Dienstleister will seinen Kunden nachweisen, dass keine bekannten kritischen Schwachstellen (CVE CVSS ≥ 9.0) in seinen Produkten enthalten sind. SBOM + kontinuierliches CVE-Matching ermöglicht diesen Nachweis automatisiert und aktuell – als Vertrauensmerkmal im B2B-Vertrieb.

Unser SBOM-Service

  • SBOM-Erstellung (CycloneDX, SPDX)
  • Dependency Analysis
  • CVE-Matching und Priorisierung
  • Kontinuierliches Monitoring
  • CI/CD-Integration
  • License Compliance Check
  • Vendor-SBOM-Management
  • CRA-Compliance Nachweise

Verwandtes Thema

CRA-Umsetzung: Das 4-Phasen-Modell

SBOM ist ein Kernelement der CRA-Umsetzung. Hier finden Sie den vollständigen Umsetzungsfahrplan.

Zur CRA-Umsetzung

SBOM-Service anfragen

Transparenz über Ihre Software-Lieferkette.

Service anfragen

Häufige Fragen zum SBOM-Service

Bin ich als Unternehmen zur SBOM-Erstellung verpflichtet?

Der Cyber Resilience Act (CRA) verpflichtet Hersteller vernetzter Produkte zur Bereitstellung einer SBOM. Die US Executive Order 14028 schreibt SBOMs für Software vor, die an US-Behörden geliefert wird. Unternehmen, die Software an regulierte Branchen oder kritische Infrastrukturen liefern, werden zunehmend vertraglich zur SBOM-Bereitstellung verpflichtet.

Wie lange dauert die erste SBOM-Erstellung?

Das hängt von der Komplexität Ihrer Software-Landschaft ab. Für eine einzelne Applikation mit klaren Build-Prozessen sind 1–3 Tage realistisch. Für komplexe Produkt-Portfolios mit mehreren Technologie-Stacks planen wir 2–4 Wochen für die initiale Inventarisierung und Prozess-Einrichtung.

Was ist ein VEX und brauche ich das?

VEX (Vulnerability Exploitability eXchange) ergänzt die SBOM um Aussagen zur tatsächlichen Ausnutzbarkeit von CVEs: Ist eine bekannte Schwachstelle in Ihrer Produktkonfiguration überhaupt erreichbar? VEX reduziert den False-Positive-Aufwand erheblich und ist zunehmend Teil der CRA-Nachweisdokumentation.

Können Sie auch SBOMs für zugekaufte Drittanbieter-Komponenten verwalten?

Ja. Vendor-SBOM-Management ist Teil unseres Services: Wir sammeln SBOMs von Ihren Lieferanten, validieren Format und Vollständigkeit, integrieren sie in Ihr SBOM-Inventar und prüfen sie kontinuierlich auf neue CVEs.

Verwandte Leistungen

CRA-UmsetzungVulnerability ManagementPatch Management

Kontakt aufnehmen

Software Supply Chain absichern

Vollständige Transparenz über Ihre Abhängigkeiten – für Compliance, Sicherheit und Vertrauen.

Beratungsgespräch anfragen