SBOM und Supply Chain Security Audit

Die meisten Organisationen wissen nicht genau, welche Drittanbieter-Bibliotheken in ihrer Software stecken. Für jedes Produkt wird eine lückenlose Software-Stückliste (SBOM) erstellt und auf Sicherheitslücken, EOL-Komponenten und Lizenz-Risiken geprüft.

Schwerpunkte

Automatisierte Inventarisierung Codebasen werden gescannt, standardisierte SBOMs (CycloneDX/SPDX) generiert und das Unsichtbare sichtbar gemacht.

Schwachstellen- und Malware-Prüfung Abhängigkeiten werden gegen globale Sicherheitsdatenbanken abgeglichen, End-of-Life-Komponenten ohne Support identifiziert.

Lizenz-Risiko-Analyse Copyleft-Lizenzen (wie GPL), die Geschäftsgeheimnisse gefährden könnten, werden gefunden, sichere Alternativen vorgeschlagen.

Eckdaten

  • Dauer: 2–4 Tage (pro Produkt/Applikation).
  • Ergebnisse: Vollständige SBOM-Dateien und Risk-Report mit konkreten Patch-Empfehlungen.
  • Zielgruppe: Software-Hersteller, GovTech-Partner und KMUs mit sensiblen Daten.

Methoden

Die Methoden dahinter sind im Neuland-Handbuch dokumentiert: