Durchleuchten Sie sämtliche Programmpakete in Ihrer Software-BOM auf Schwachstellen oder rechtliche Fallstricke – online mit unserem kostenlosen Scanning-Tool oder komplett automatisiert mit Snyk als integrierte SBOM-Management-Schaltstelle in Ihren Dev-Workflows.
Die volle Power unserer Plattform erhalten Sie mit einem Snyk Konto – kostenlos, unverbindlich und ohne Kreditkarte.
Im Zuge agiler Software-Entwicklung ändern sich die einer Anwendung zugrunde liegenden Komponenten und ihre Versionen mit einer enormen Dynamik. Erst eine gut gepflegte SBOM liefert hier stets Klarheit über den Status quo.
Kommen Lizenzprobleme bei von Entwicklern genutzten Open-Source-Bibliotheken auf, müssen Sie ihren Code mit großem Aufwand komplett auf die Migration zu anderen Projekten abstimmen.
Als eines der Kernelemente der 2022 vom US-Präsidenten erlassenen Cybersecurity-Verordnung wird die SBOM fortan zum wichtigen Fokusthema im Kontext der Sicherheit in der Software-Lieferkette – auch über die USA hinaus.
In einerSoftware Bill of Materials, kurz SBOM, werden sämtliche Komponenten festgehalten, aus denen sich ein Software-Produkt zusammensetzt. Dies umfasst Bibliotheken aus externen Open-Source-Quellen und Pakete von Drittanbietern ebenso wie intern entwickelte Artefakte.
Erst durch eine lückenlose Bestandsaufnahme der Einzelkomponenten einer Anwendung anhand adäquater Security-Tools etwa für Software Composition Analysis lassen sich sicherheits- und lizenzbezogene Risiken im Zusammenhang mit ihrer Entwicklung und Nutzung zuverlässig erfassen. Noch mehr gilt dies angesichts der Dynamik, mit der sich die einer Anwendung zugrunde liegenden Komponenten und ihre Versionen im Zuge agiler Software-Entwicklung ändern. Eine SBOM, idealerweise in standardkonformer Ausfertigung, kann hier lückenlos Aufschluss über den Status quo liefern.
Snyk’s SBOM Security Checker enables you to upload Software Bill of Materials (SBOM) files and scan them for known security vulnerabilities and legal issues, helping you stay compliant and secure within your development workflows.
Snyk’s SBOM Checker helps you reduce technical debt, boost compliance, and accelerate development by continuously monitoring evolving dependencies for vulnerabilities and licensing risks.
Absolutely. SBOM generation and scanning can be automated with the Snyk CLI across your development lifecycle—making SBOMs part of CI/CD pipelines and developer workflows with minimal overhead.
Although the SBOM Checker itself scans for vulnerabilities and licensing issues, it benefits from Snyk’s broader platform, powered by the AI Trust Platform, which enhances automation, intelligence, and developer-centered insights across the entire scanning workflow.
Snyk supports both CycloneDX and SPDX SBOM standards. You can generate and test SBOMs in these formats to integrate seamlessly with your security processes.
CycloneDX und SPDX sind derzeit am weitesten verbreitet, wenn es um SBOM-Standards mit Fokus auf Security geht. Abhängig von den Anforderungen Ihres Projekts eignet sich der eine Standard womöglich besser als der andere, prinzipiell können Sie aber auch beide gleichzeitig umsetzen. Mit einem einheitlichen, rechtsverbindlichen Standard ist in absehbarer Zeit nicht zu rechnen. Vielmehr werden nach Einschätzung der US-Behörde für Cyber- und Infrastruktursicherheit CISA und Vertretern der Branche zunächst diverse Formate in der SBOM-Landschaft kursieren.
Mit CycloneDX hat das Open Worldwide Application Security Project (OWASP) einen Standard für AppSec-Kontexte sowie die Analyse von Komponenten in der Software-Lieferkette entwickelt, der die Erfassung sämtlicher intern entwickelter und Drittanbieter-Elemente einer Anwendung erleichtert. Neben Use Cases rund um Software-Bibliotheken werden dabei auch Standards wie Software-as-a-Service-BOM (SaaSBOM) und Vulnerability Exploitability Exchange (VEX) unterstützt. Als Open-Source-Projekt mit Apache 2.0 Lizenzierung kann der Standard frei genutzt werden. Das zugehörige Repository ist unter https://github.com/CycloneDX/specification abrufbar und steht der Entwickler-Community offen für Beiträge zur Verfügung.
Software Package Data Exchange bzw. SPDX ist ein weiterer Standard zum SBOM-Tracking, der die Erfassung von Komponenten, Lizenzen, Copyright- und Security-Informationen sowie weiterer Metadaten ermöglicht. Ins Leben gerufen wurde er von der Linux Foundation mit dem Ziel, wichtige Software-Daten in einem einheitlichen Format austauschbar zu machen. Unnötige Mehrarbeit soll dadurch vermieden werden, während zugleich Compliance, Sicherheit und Verlässlichkeit gestärkt werden. Wie auch seine Urheberin baut SPDX auf den Grundsätzen der Open-Source-Community auf. Alle Details zum Standard finden Sie in der vollständigen SPDX-Spezifikation sowie im GitHub-Repository zu SPDX.