SBOM und CVE Scanning – warum sichere Artefakte elementar für die Software Supply-Chain sind

Die Sicherheit von Software-Lieferketten ist heute eines der zentralen Themen in der IT-Sicherheit. Unternehmen stehen unter zunehmendem Druck, Transparenz, Nachvollziehbarkeit und Verlässlichkeit ihrer eingesetzten Software sicherzustellen. Ein zentrales Werkzeug dabei ist die Software Bill of Materials (SBOM), ergänzt durch automatisiertes Scanning auf bekannte Schwachstellen – Common Vulnerabilities and Exposures (CVE).

In diesem Beitrag werden wir:

• Den Begriff SBOM erläutern und ihn anhand von Konzepten aus der realen Welt greifbar machen.
• Das Konzept der CVEs erklären und die wichtigsten Quellen von Schwachstelleninformationen vorstellen.
• Aufzeigen, wie Tools wie GitLab und Harbor helfen, SBOMs zu generieren und CVE-Scans durchzuführen.
• Den besonderen Nutzen dieser Prozesse für compliance-lastige Branchen wie Pharma, Industrie und GovTech darstellen.

Was ist eine Software Bill of Materials (SBOM)?

Eine Software Bill of Materials ist im Kern eine Stückliste der Software. Sie beschreibt, aus welchen Komponenten eine Software besteht – vergleichbar mit den Stücklisten in der industriellen Fertigung.

Analogie aus der realen Welt

Stellen wir uns ein modernes Auto vor. Ein Fahrzeughersteller weiß genau:

• Welche Schrauben, Sensoren und Elektronikkomponenten verbaut sind.
• Aus welchen Lieferketten diese Teile stammen.
• Welche Qualitäts- und Sicherheitszertifikate für die Teile vorliegen.

Genau dieses Konzept wird mit einer SBOM auf die Software übertragen:

• Bibliotheken und Abhängigkeiten: z. B. OpenSSL, Log4j.
• Versionen: präzise Angabe der eingesetzten Version.
• Lizenzinformationen: wichtig für Compliance mit Open-Source-Regeln.
• Herkunft: Repository, Registry oder Paketquelle.

Die SBOM ist damit eine Art „digitaler Zwilling" einer Software-Lieferkette – sie macht sichtbar, welche Komponenten im Einsatz sind.

Standards für SBOMs

Es gibt verschiedene Standards, die sich international etabliert haben:

• SPDX (Software Package Data Exchange)
• CycloneDX
• SWID (Software Identification Tags)

Jeder dieser Standards zielt darauf ab, Software-Komponenten maschinenlesbar, interoperabel und eindeutig zu beschreiben.

Was sind CVEs (Common Vulnerabilities and Exposures)?

Während SBOMs die Bestandsaufnahme liefern, braucht es ein System, um bekannte Schwachstellen den jeweiligen Komponenten zuordnen zu können. Genau hier kommen Common Vulnerabilities and Exposures (CVE) ins Spiel.

Definition

CVE ist eine Liste bekannter Sicherheitslücken und Schwachstellen, die weltweit als Referenz dient. Jede Schwachstelle erhält eine eindeutige Kennung, z. B.:

• CVE-2021-44228 (Log4Shell, eine kritische Lücke in Log4j)
• CVE-2014-0160 (Heartbleed, eine gravierende OpenSSL-Sicherheitslücke)

Quellen für CVEs

Die beiden wichtigsten „Sources of Truth" sind:

• ENISA Vulnerability Database (EUVD) – die europäische Datenbank für Schwachstellen, entwickelt von der EU-Agentur für Cybersicherheit.
• MITRE Corporation – die Organisation, die das CVE-System ursprünglich entwickelt hat und bis heute pflegt.

Beide Datenquellen sind Grundlage für nahezu alle automatisierten Security-Tools.

Nutzen für die Praxis

Mit einer SBOM lässt sich für jede verwendete Bibliothek automatisiert prüfen:

• Gibt es bekannte CVEs?
• Welchen Schweregrad haben diese Schwachstellen (CVSS-Score)?
• Müssen sofortige Updates durchgeführt werden?

Ohne CVEs wären SBOMs wertlos, weil sie nur eine Liste darstellen. Erst durch den Abgleich mit CVE-Datenbanken entsteht echter Mehrwert.

Zusammenspiel von SBOM und CVE

Die Kombination aus SBOM und CVE-Scanning ist der zentrale Baustein einer sicheren Software Supply-Chain.

Beispiel: Log4j-Krise

Als im Dezember 2021 die Log4Shell-Sicherheitslücke (CVE-2021-44228) bekannt wurde, standen tausende Unternehmen weltweit vor der Herausforderung: Wo verwenden wir Log4j?

• Ohne SBOM: mühselige, manuelle Suche in Code-Repositories, Artefakten und Container-Images.
• Mit SBOM: automatisierte Abfrage – welche Software-Komponenten enthalten Log4j, in welcher Version, und wie kann man gezielt Updates einspielen?

Die SBOM ist also die Grundlage, CVE-Datenbanken liefern die Angriffsvektoren – und gemeinsam ermöglichen sie schnelles und zielgerichtetes Handeln.

Tools für SBOM-Erstellung und CVE-Scanning

GitLab

GitLab bietet umfangreiche Sicherheitsfeatures direkt in CI/CD-Pipelines:

• Automatisierte Erstellung von SBOMs.
• Dependency-Scanning: Abgleich mit CVE-Datenbanken.
• Container Scanning für Docker-Images.
• Policy-Management: Regeln, welche CVSS-Scores toleriert werden.

Harbor

Harbor ist eine Open-Source-Registry für Container-Images:

• Integriertes Scanning von Artefakten.
• Unterstützung von SBOMs über Tools wie Trivy.
• Signierung und Verifikation von Images.
• Rollenbasierte Zugriffskontrolle.

Weitere wichtige Tools

• Trivy: Leichtgewichtiges Scanner-Tool für Container, Filesysteme und Repositories.
• Syft: Erstellung von SBOMs im CycloneDX- oder SPDX-Format.
• Grype: Vulnerability-Scanner für Container-Images, kompatibel mit SBOMs.

Durch Integration dieser Tools in CI/CD-Pipelines wird Security ein kontinuierlicher Prozess statt einer nachgelagerten Prüfung.

Compliance-Perspektive

Für viele Unternehmen sind SBOM und CVE-Scanning nicht nur eine Frage der Sicherheit, sondern auch der Compliance.

Branchenanforderungen

• Pharma: Regulierungen wie FDA 21 CFR Part 11 fordern Nachvollziehbarkeit und Dokumentation jeder eingesetzten Komponente.
• Industrie: Standards wie IEC 62443 verlangen Sicherheitsnachweise für eingesetzte Software in kritischen Infrastrukturen.
• GovTech: Nationale Sicherheitsbehörden verlangen Auditierbarkeit und Nachweis von Vertrauenswürdigkeit.

Vorteile durch SBOM & CVE-Scanning

• Auditierbarkeit: SBOMs liefern den Nachweis, welche Komponenten wann im Einsatz waren.
• Transparenz: Sicherheitslücken lassen sich schneller und nachvollziehbarer identifizieren.
• Reduzierter Audit-Aufwand: Statt manueller Prüfungen reicht oft ein automatisierter Scan-Bericht.

Compliance-Teams profitieren so massiv von der Automatisierung.

Fazit: SBOM & CVE sind unverzichtbar

Die Diskussion um sichere Software Supply-Chains hat durch Vorfälle wie Log4j oder den Bitnami-Incident gezeigt, wie verwundbar globale Ökosysteme sind. Mit SBOM und CVE-Scanning haben wir Werkzeuge in der Hand, um diese Risiken signifikant zu reduzieren.

• SBOMs schaffen Transparenz.
• CVEs liefern das Wissen über Bedrohungen.
• Tools wie GitLab und Harbor operationalisieren diese Prozesse.

Für Unternehmen – insbesondere in regulierten Branchen – ist die Einführung solcher Prozesse längst kein „Nice-to-have" mehr, sondern eine elementare Voraussetzung für Sicherheit, Compliance und Resilienz.