Was ist eine SBOM?

Eine SBOM (Software Bill of Materials) ist eine strukturierte Liste aller Komponenten, Abhängigkeiten und Lizenzen, die in einer Software enthalten sind. Sie ermöglicht volle Transparenz über die eingesetzten Open-Source- und Drittanbieter-Bibliotheken.

​

Welche Formate werden unterstützt?

Wir unterstützen alle gängigen SBOM-Standards – insbesondere CycloneDX und SPDX. Die erzeugten SBOMs sind maschinenlesbar, standardkonform und für weitere Verarbeitungsschritte geeignet.

​

Können Sicherheitslücken automatisch erkannt werden?

Ja. Alle Komponenten in der SBOM werden automatisch mit anerkannten Sicherheitsdatenbanken (wie der NVD) abgeglichen. Bekannte Schwachstellen (CVEs) werden identifiziert, bewertet und in einem übersichtlichen Dashboard dargestellt.

​

Werden SBOMs automatisch aktualisiert?

Ja. Sie können festlegen, ob SBOMs bei jedem neuen Build, regelmäßig nach Zeitplan oder manuell aktualisiert werden sollen. Änderungen und neue CVEs werden ebenfalls automatisch erfasst und gemeldet.

​

Ist auch die Lizenzprüfung enthalten?

Ja. Für jede Komponente werden die zugehörigen Open-Source-Lizenzen erkannt und bewertet. Wir helfen dabei, potenzielle Lizenzkonflikte oder Verstöße frühzeitig zu identifizieren.

​

Kann ich Container oder Binärdateien analysieren lassen?

Ja. Wir unterstützen nicht nur die Analyse von Quellcode, sondern auch von Containern (z. B. Docker-Images) und Binärdateien. Die generierte SBOM umfasst auch daraus extrahierte Komponenten und Lizenzen.

​

Ist der Service automatisierbar?

Ja. Der gesamte Prozess lässt sich in Ihre vorhandenen CI/CD-Pipelines integrieren (z. B. bei GitHub, GitLab, Jenkins). SBOMs werden automatisch generiert, Sicherheitsprüfungen durchgeführt und Benachrichtigungen versendet.

​

Welche Risiken werden erkannt?

Neben bekannten CVEs werden auch potenzielle Lizenzrisiken, veraltete Bibliotheken, unsichere Abhängigkeiten oder Komponenten mit hoher Angriffswahrscheinlichkeit angezeigt.

​

Unterstützt der Service Compliance-Anforderungen?

Ja. Der Service unterstützt Sie beim Erfüllen regulatorischer Anforderungen, u. a. durch:

• Nachweisbare Software-Stücklisten

• Sicherheits- und Lizenzberichte

• Revisionssichere Dokumentation

• Unterstützung bei Normen wie NIS2, ISO 27001, B3S, DPRA, PCI-DSS, TISAX oder FDA

​

Wie werden Sicherheitsmeldungen bereitgestellt?

Sie erhalten Echtzeit- oder regelmäßige Benachrichtigungen über neu entdeckte Schwachstellen – per E-Mail, Dashboard oder optional über automatisierte Schnittstellen.

​

Ist die Lösung DSGVO-konform?

Ja. Die Verarbeitung erfolgt ausschließlich auf Servern innerhalb Deutschlands oder auf Wunsch vollständig On-Premise. Es werden keine Quellcodes oder personenbezogenen Daten gespeichert – nur Metadaten aus den Komponentenanalysen.

​

Gibt es ein Dashboard oder Benutzeroberfläche?

Ja. Sie erhalten Zugriff auf ein zentrales Dashboard, das Risiken, Komponenten, Lizenzinformationen und Änderungen übersichtlich darstellt – inklusive Historie, Filtermöglichkeiten und Exportfunktionen.

​

Können SBOMs exportiert werden?

Ja. Die SBOMs und zugehörigen Sicherheitsberichte können jederzeit exportiert werden – im JSON-, XML-, PDF- oder CSV-Format – z. B. für Audits, Kunden oder interne Compliance-Zwecke.

​

Können mehrere Projekte parallel verwaltet werden?

Ja. Sie können beliebig viele Anwendungen, Container oder Software-Komponenten als Projekte anlegen und verwalten – inklusive Versionsverfolgung, separater Risikoanalysen und Benutzereinstellungen.

​

Wie schnell ist der Service einsatzbereit?

In der Regel kann der Service innerhalb von 1–5 Tagen eingerichtet und in Ihre Prozesse eingebunden werden – abhängig von Ihrer Infrastruktur und gewünschten Integrationen.