SBOM und Supply Chain Security Audit
Das Audit erstellt für jedes geprüfte Produkt eine lückenlose Software-Stückliste (SBOM). Sichtbar wird, welche Drittanbieter-Bibliotheken in der Software stecken; jede Komponente wird auf Sicherheitslücken, End-of-Life-Stände und Lizenz-Risiken bewertet. Das schafft die Faktenbasis, die vor Audits, Beschaffungen und Übernahmen verlangt wird.
Typische Ausgangslagen
- vor Audits, Beschaffungen oder EMBAG-nahen Nachweisen: eine SBOM im Standardformat schafft den maschinenlesbaren Komponentennachweis
- vor einer M&A-Due-Diligence: Schwachstellen, End-of-Life-Komponenten und Lizenzrisiken werden in einem Risk-Report nach Schweregrad bewertet
- vor dem Aufbau einer dauerhaften Supply-Chain-Governance: Komponenten, Risiken und Patch- oder Austausch-Empfehlungen werden als Baseline dokumentiert
Ergebnisse
Das Audit liefert eine belastbare Risikoaussage: ob ein Produkt audit- und beschaffungsfähig ist, welche Lizenz-Risiken die eigene IP gefährden und wie dringend gehandelt werden muss. Als konkrete Lieferobjekte entstehen für jedes geprüfte Produkt:
- eine vollständige SBOM im Standardformat (CycloneDX oder SPDX)
- ein Risk-Report mit den Schwachstellen und EOL-Komponenten nach Schweregrad
- zu jedem Befund eine konkrete Patch- oder Austausch-Empfehlung
Der Leistungsumfang
Das Audit durchleuchtet jedes Produkt von der Codebasis bis zum Risk-Report.
flowchart TD
accTitle: Ablauf des SBOM-Audits
accDescr: Aus Codebasis und Container-Images wird eine SBOM in CycloneDX oder SPDX erzeugt; Schwachstellen, EOL-Komponenten und Lizenzen werden bewertet und zu einem Risk-Report mit Empfehlungen verdichtet.
A["Codebasis und Container-Images"] --> B["SBOM erzeugen<br/>CycloneDX oder SPDX"]
B --> C["Schwachstellen und EOL prüfen"]
B --> D["Lizenzen bewerten"]
C --> E["Risk-Report<br/>nach Schweregrad, mit Empfehlung"]
D --> E
Automatisierte Inventarisierung (SBOM, CycloneDX/SPDX) Codebasen und, falls gewünscht, Container-Images werden gescannt und standardisierte SBOMs erzeugt:
- CycloneDX- oder SPDX-Format
- das Unsichtbare wird maschinenlesbar und prüfbar
Schwachstellen- und Malware-Prüfung Abhängigkeiten werden gegen globale Sicherheitsdatenbanken abgeglichen:
- End-of-Life-Komponenten ohne Support werden identifiziert
- bei einem Vorfall wie Log4j lässt sich anhand der SBOM nachschlagen, welche Produkte die betroffene Komponente enthalten
Lizenz-Risiko-Analyse Copyleft-Lizenzen wie die GPL werden im Nutzungskontext bewertet; wo Lizenzpflichten nicht zum Geschäftsmodell passen, werden passende Alternativen vorgeschlagen.
Abgrenzung
Das Audit schafft Transparenz und priorisiert die Risiken, es behebt sie nicht. Das Einspielen von Patches, der Austausch von Komponenten und die laufende Überwachung der Lieferkette sind nicht Teil des Audits; diese dauerhafte Verankerung leistet Security, Compliance und OSPO as a Service. Parallel zur Lieferkette lässt sich mit dem Delivery-Assessment die Liefertreue prüfen.
Eckdaten
Der Aufwand richtet sich nach Anzahl der Produkte und der Tiefe ihrer Lieferketten:
- wie viele Abhängigkeiten inventarisiert werden
- wie viele auf Schwachstellen und Malware geprüft werden
- wie viele auf Lizenzrisiken bewertet werden
Eine einzelne Applikation mit überschaubarem Stack ist rasch auditiert, ein Portfolio aus vielen Produkten verlangt mehr Tiefe. Was das Audit im konkreten Fall kostet, hängt an genau diesen Faktoren. Der Preis-Richtwert nennt den Rahmen für das eigene Portfolio.
Weiterführende Informationen
- SBOM, die Software-Stückliste als Standard für Lieferketten-Transparenz.
- Software Supply Chain Security, Abhängigkeiten absichern statt nur inventarisieren.