SBOM-Anforderungen: TR-03183-2 stärkt Sicherheit in der Software-Lieferkette
Datum 04.08.2023
![Mehrere schemenhaft angedeutete Zahnräder greifen ineinander. Im Hintergrund stehen Server-Racks in der Dunkelheit. (Quelle: © vladimircaribb / Adobe Stock) Mehrere schemenhaft angedeutete Zahnräder greifen ineinander. Im Hintergrund stehen Server-Racks in der Dunkelheit.](/SharedDocs/Bilder/DE/Bilder_extern/Stock/Zahnraeder_474556209.jpg?__blob=wide&v=4)
Am 4. August hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Teil 2 der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ veröffentlicht. Das Dokument definiert formelle und fachliche Vorgaben für Software-Stücklisten (SBOM). Damit bietet das BSI Softwareherstellern eine Empfehlung zur Gestaltung von SBOMs, die der Erhöhung der Sicherheit in der Software-Lieferkette (Software Supply Chain Security) dienen.
Eine „Software Bill of Materials“ (SBOM) dokumentiert, welche kommerziellen und freien Software-Bestandteile in Software-Produkten enthalten sind. Sie macht Abhängigkeiten zu Komponenten Dritter transparent und hilft damit Herstellern, Sicherheitsforschenden sowie professionellen Anwenderinnen und Anwendern beim Monitoring von Schwachstellen.
Software-Stücklisten (SBOM) gehören zu den zentralen Forderungen des europäischen Cyber Resilience Act (CRA). Dieser liegt seit September 2022 als Entwurf der EU-Kommission vor und befindet sich derzeit im Gesetzgebungsverfahren.