SBOM und CVE Scanning – warum sichere Artefakte elementar für die Software Supply-Chain sind
Die Sicherheit von Software-Lieferketten ist heute eines der zentralen Themen in der IT-Sicherheit. Unternehmen stehen unter zunehmendem Druck, Transparenz, Nachvollziehbarkeit und Verlässlichkeit ihrer eingesetzten Software sicherzustellen. Ein zentrales Werkzeug dabei ist die Software Bill of Materials (SBOM), ergänzt durch automatisiertes Scanning auf bekannte Schwachstellen – Common Vulnerabilities and Exposures (CVE).
Die Sicherheit von Software-Lieferketten ist heute eines der zentralen Themen in der IT-Sicherheit. Unternehmen stehen unter zunehmendem Druck, Transparenz, Nachvollziehbarkeit und Verlässlichkeit ihrer eingesetzten Software sicherzustellen. Ein zentrales Werkzeug dabei ist die Software Bill of Materials (SBOM), ergänzt durch automatisiertes Scanning auf bekannte Schwachstellen – Common Vulnerabilities and Exposures (CVE).
In diesem Beitrag werden wir:
Den Begriff SBOM erläutern und ihn anhand von Konzepten aus der realen Welt greifbar machen.
Das Konzept der CVEs erklären und die wichtigsten Quellen von Schwachstelleninformationen vorstellen.
Aufzeigen, wie Tools wie GitLab und Harbor helfen, SBOMs zu generieren und CVE-Scans durchzuführen.
Den besonderen Nutzen dieser Prozesse für compliance-lastige Branchen wie Pharma, Industrie und GovTech darstellen.
Was ist eine Software Bill of Materials (SBOM)?
Eine Software Bill of Materials ist im Kern eine Stückliste der Software. Sie beschreibt, aus welchen Komponenten eine Software besteht – vergleichbar mit den Stücklisten in der industriellen Fertigung.
Analogie aus der realen Welt
Stellen wir uns ein modernes Auto vor. Ein Fahrzeughersteller weiß genau:
Welche Schrauben, Sensoren und Elektronikkomponenten verbaut sind.
Aus welchen Lieferketten diese Teile stammen.
Welche Qualitäts- und Sicherheitszertifikate für die Teile vorliegen.
Genau dieses Konzept wird mit einer SBOM auf die Software übertragen:
Bibliotheken und Abhängigkeiten: z. B. OpenSSL, Log4j.
Versionen: präzise Angabe der eingesetzten Version.
Lizenzinformationen: wichtig für Compliance mit Open-Source-Regeln.
Herkunft: Repository, Registry oder Paketquelle.
Die SBOM ist damit eine Art „digitaler Zwilling" einer Software-Lieferkette – sie macht sichtbar, welche Komponenten im Einsatz sind.
Standards für SBOMs
Es gibt verschiedene Standards, die sich international etabliert haben:
Jeder dieser Standards zielt darauf ab, Software-Komponenten maschinenlesbar, interoperabel und eindeutig zu beschreiben.
Was sind CVEs (Common Vulnerabilities and Exposures)?
Während SBOMs die Bestandsaufnahme liefern, braucht es ein System, um bekannte Schwachstellen den jeweiligen Komponenten zuordnen zu können. Genau hier kommen Common Vulnerabilities and Exposures (CVE) ins Spiel.
Definition
CVE ist eine Liste bekannter Sicherheitslücken und Schwachstellen, die weltweit als Referenz dient. Jede Schwachstelle erhält eine eindeutige Kennung, z. B.:
CVE-2021-44228 (Log4Shell, eine kritische Lücke in Log4j)
CVE-2014-0160 (Heartbleed, eine gravierende OpenSSL-Sicherheitslücke)
MITRE Corporation – die Organisation, die das CVE-System ursprünglich entwickelt hat und bis heute pflegt.
Beide Datenquellen sind Grundlage für nahezu alle automatisierten Security-Tools.
Nutzen für die Praxis
Mit einer SBOM lässt sich für jede verwendete Bibliothek automatisiert prüfen:
Gibt es bekannte CVEs?
Welchen Schweregrad haben diese Schwachstellen (CVSS-Score)?
Müssen sofortige Updates durchgeführt werden?
Ohne CVEs wären SBOMs wertlos, weil sie nur eine Liste darstellen. Erst durch den Abgleich mit CVE-Datenbanken entsteht echter Mehrwert.
Zusammenspiel von SBOM und CVE
Die Kombination aus SBOM und CVE-Scanning ist der zentrale Baustein einer sicheren Software Supply-Chain.
Beispiel: Log4j-Krise
Als im Dezember 2021 die Log4Shell-Sicherheitslücke (CVE-2021-44228) bekannt wurde, standen tausende Unternehmen weltweit vor der Herausforderung: Wo verwenden wir Log4j?
Ohne SBOM: mühselige, manuelle Suche in Code-Repositories, Artefakten und Container-Images.
Mit SBOM: automatisierte Abfrage – welche Software-Komponenten enthalten Log4j, in welcher Version, und wie kann man gezielt Updates einspielen?
Die SBOM ist also die Grundlage, CVE-Datenbanken liefern die Angriffsvektoren – und gemeinsam ermöglichen sie schnelles und zielgerichtetes Handeln.
Tools für SBOM-Erstellung und CVE-Scanning
GitLab
GitLab bietet umfangreiche Sicherheitsfeatures direkt in CI/CD-Pipelines:
Automatisierte Erstellung von SBOMs.
Dependency-Scanning: Abgleich mit CVE-Datenbanken.
Container Scanning für Docker-Images.
Policy-Management: Regeln, welche CVSS-Scores toleriert werden.
Harbor
Harbor ist eine Open-Source-Registry für Container-Images:
Trivy: Leichtgewichtiges Scanner-Tool für Container, Filesysteme und Repositories.
Syft: Erstellung von SBOMs im CycloneDX- oder SPDX-Format.
Grype: Vulnerability-Scanner für Container-Images, kompatibel mit SBOMs.
Durch Integration dieser Tools in CI/CD-Pipelines wird Security ein kontinuierlicher Prozess statt einer nachgelagerten Prüfung.
Compliance-Perspektive
Für viele Unternehmen sind SBOM und CVE-Scanning nicht nur eine Frage der Sicherheit, sondern auch der Compliance.
Branchenanforderungen
Pharma: Regulierungen wie FDA 21 CFR Part 11 fordern Nachvollziehbarkeit und Dokumentation jeder eingesetzten Komponente.
Industrie: Standards wie IEC 62443 verlangen Sicherheitsnachweise für eingesetzte Software in kritischen Infrastrukturen.
GovTech: Nationale Sicherheitsbehörden verlangen Auditierbarkeit und Nachweis von Vertrauenswürdigkeit.
Vorteile durch SBOM & CVE-Scanning
Auditierbarkeit: SBOMs liefern den Nachweis, welche Komponenten wann im Einsatz waren.
Transparenz: Sicherheitslücken lassen sich schneller und nachvollziehbarer identifizieren.
Reduzierter Audit-Aufwand: Statt manueller Prüfungen reicht oft ein automatisierter Scan-Bericht.
Compliance-Teams profitieren so massiv von der Automatisierung.
Fazit: SBOM & CVE sind unverzichtbar
Die Diskussion um sichere Software Supply-Chains hat durch Vorfälle wie Log4j oder den Bitnami-Incident gezeigt, wie verwundbar globale Ökosysteme sind. Mit SBOM und CVE-Scanning haben wir Werkzeuge in der Hand, um diese Risiken signifikant zu reduzieren.
SBOMs schaffen Transparenz.
CVEs liefern das Wissen über Bedrohungen.
Tools wie GitLab und Harbor operationalisieren diese Prozesse.
Für Unternehmen – insbesondere in regulierten Branchen – ist die Einführung solcher Prozesse längst kein „Nice-to-have" mehr, sondern eine elementare Voraussetzung für Sicherheit, Compliance und Resilienz.
Werde Teil der ayedo Community
In unserer Discord Community findest du Antworten auf deine Fragen rund um das Thema ayedo, Kubernetes und Open Source. Hier erfährst du in Realtime was es Neues bei ayedo und unseren Partnern gibt und hast die Möglichkeit mit unserem Team in direkten Kontakt zu treten.
Interessiert an weiteren Inhalten? Hier gehts zu allen Blogs →
Noch Fragen? Melden Sie sich!
Unsere DevOps-Experten antworten in der Regel innerhalb einer Stunde.
Zu Gen-Z für E-Mail? Einfach mal Discord versuchen. Unter +49 800 000 3706 können Sie unter Angabe Ihrer Kontaktdaten auch einen Rückruf vereinbaren. Bitte beachten Sie, dass es keine Möglichkeit gibt, uns telefonisch direkt zu erreichen. Bitte gar nicht erst versuchen. Sollten Sie dennoch Interesse an synchroner Verfügbarkeit via Telefon haben, empfehlen wir Ihnen unseren Priority Support.