SBOM-Analyse

Kennen Sie jede Komponente Ihrer Software. Analysieren Sie Software Bills of Materials, verknüpfen Sie Abhängigkeiten mit Ihren Assets und decken Sie verwundbare Komponenten auf, die Grundlage für Lieferkettensicherheit und die Konformität mit dem EU Cyber Resilience Act.

Was ist ein SBOM?

Ein vollständiges Inventar Ihrer Software-Komponenten

Ein Software Bill of Materials (SBOM) ist ein formales, maschinenlesbares Inventar aller Komponenten, Bibliotheken und Abhängigkeiten, aus denen sich eine Software zusammensetzt. Moderne Anwendungen bestehen aus hunderten Open-Source- und Drittanbieter-Komponenten, jede davon ist ein möglicher Einfallsweg für Angreifer, sobald eine Schwachstelle bekannt wird.

Ohne SBOM lässt sich die wichtigste Frage im Ernstfall nicht beantworten: „Sind wir betroffen?“ turingsecure importiert SBOMs in den gängigen Standards, SPDX und CycloneDX, und macht daraus ein durchsuchbares, kontinuierlich überwachtes Komponenten-Inventar, das mit Ihren Assets und der Schwachstellenlage verknüpft ist.

SBOM als vollständiges Inventar der Software-Komponenten und Abhängigkeiten

Software-Komposition

Wie funktioniert SBOM-Analyse in der Praxis?

Import & Zuordnung

Von der SBOM-Datei zu vernetzten Asset-Daten

Erzeugen Sie SBOMs in Ihrer Build-Pipeline oder erhalten Sie sie von Lieferanten und importieren Sie sie in turingsecure. Jede Komponente, mit Name, Version, Lizenz und Lieferant, wird eingelesen und dem Anwendungs- oder System-Asset zugeordnet, zu dem sie gehört. So erweitern Sie Ihr Asset-Inventar um eine präzise Software-Ebene.

SPDX- & CycloneDX-Import

Importieren Sie SBOMs in den beiden etablierten maschinenlesbaren Standards, als Artefakte aus Ihrer CI/CD-Pipeline oder als Dokumente vorgelagerter Lieferanten.

Auflösung von Abhängigkeiten

Direkte und transitive Abhängigkeiten werden mit ihren exakten Versionen eingelesen. So sehen Sie den vollständigen Komponentenbaum, nicht nur die bewusst eingebundenen Bibliotheken.

Asset-Verknüpfung

Jede Software-Komponente wird dem Anwendungs- oder System-Asset zugeordnet, in dem sie läuft. Ihre SBOM-Daten werden Teil desselben Registers wie Ihre übrige Infrastruktur.

Import von SBOM-Dateien und Zuordnung der Komponenten zu Assets

Abgleich & Priorisierung

Komponenten gegen bekannte Schwachstellen abgleichen

Ein SBOM ist nur dann nützlich, wenn es zeigt, wo das Risiko liegt. turingsecure gleicht jede Komponente und Version in Ihrem Inventar kontinuierlich mit der CVE-Datenbank, dem CISA-Katalog bekannter ausgenutzter Schwachstellen (KEV) und EPSS-Exploit-Prognosewerten ab.

Sobald eine Schwachstelle in einer von Ihnen genutzten Komponente bekannt wird, leuchten die betroffenen Assets auf, mit Schweregrad, Ausnutzungswahrscheinlichkeit und Behebungskontext. Das ist die Brücke zwischen Ihrem Software-Inventar und Ihrem Schwachstellenmanagement.

CVE- & KEV-Abgleich

Jede Komponentenversion wird gegen bekannte CVEs und den CISA-KEV-Katalog geprüft. Verwundbare Abhängigkeiten werden automatisch aufgedeckt, ganz ohne manuelle Prüfung.

Risikobasierte Priorisierung

Kombinieren Sie den CVSS-Schweregrad mit EPSS-Exploit-Prognosen, um die Behebung auf die Komponenten zu konzentrieren, die Angreifer tatsächlich zuerst ausnutzen dürften.

Sofortige Betroffenheitsanalyse

Wenn die nächste Schwachstelle vom Kaliber Log4Shell auftritt, beantworten Sie „Sind wir betroffen, und wo?“ in Sekunden, per Suche im Komponenten-Inventar über alle Assets hinweg.

Abgleich von Software-Komponenten gegen bekannte CVE-Schwachstellen

turingsecure in Aktion erleben

Entdecken Sie in einer persönlichen Demo, wie turingsecure Ihr Sicherheitsprogramm unterstützt.

SBOM-Lebenszyklus

Vom Komponenten-Inventar zur kontinuierlichen Absicherung

SBOM-Analyse verwandelt eine statische Abhängigkeitsliste in einen lebendigen, überwachten Teil Ihres Sicherheitsprogramms.

    1. Erzeugen

    SBOMs erstellen oder einsammeln

    Erzeugen Sie SBOMs in der Build-Pipeline für selbst entwickelte Software und sammeln Sie sie von Lieferanten für beschaffte Software ein. Standardformate halten den Prozess automatisierbar.

    2. Importieren

    Komponenten und Versionen einlesen

    SPDX- und CycloneDX-Dateien werden importiert. turingsecure löst direkte und transitive Abhängigkeiten mit ihren exakten Versionen, Lizenzen und Lieferanten auf.

    3. Zuordnen

    Komponenten mit Assets verbinden

    Jede Komponente wird dem Anwendungs- oder System-Asset zugeordnet, zu dem sie gehört, und erweitert das Asset-Register um eine präzise, abfragbare Software-Ebene.

    4. Abgleichen

    Verwundbare Abhängigkeiten erkennen

    Komponenten werden kontinuierlich mit CVE-, CISA-KEV- und EPSS-Daten abgeglichen. Betroffene Assets werden automatisch markiert, sobald eine neue Schwachstelle bekannt wird.

    5. Berichten

    Konformität nachweisen

    Exportieren Sie Komponenten-Inventare und Schwachstellenstatus als auditfähigen Nachweis für den EU Cyber Resilience Act, die NIS-2-Lieferkettenanforderungen und die Sorgfaltsprüfung von Kunden.

Kernfunktionen

Ihre Software-Lieferkette verstehen und steuern

Machen Sie aus jedem SBOM nutzbare Lieferketten-Intelligenz.

Komponenten-Inventar

Ein durchsuchbares Inventar aller Software-Komponenten, Versionen, Lizenzen und Lieferanten, aufgelöst aus SPDX- und CycloneDX-SBOMs und mit Ihren Assets verknüpft.

Schwachstellen-Abgleich

Kontinuierlicher Abgleich der Komponenten mit CVE, CISA KEV und EPSS. Verwundbare Abhängigkeiten werden automatisch mit Schweregrad und Ausnutzungskontext aufgedeckt.

Compliance-Nachweise

Auditfähige Komponenten- und Schwachstellenberichte für den EU Cyber Resilience Act, NIS-2 und die Lieferanten-Sorgfaltsprüfung, exportierbar in maschinenlesbaren Formaten.

Lieferketten-Transparenz

Vollständiger Einblick in Drittanbieter- und Open-Source-Risiken

Transitive Abhängigkeiten

Sehen Sie über die bewusst gewählten Bibliotheken hinaus. Der vollständige Abhängigkeitsbaum wird aufgelöst, sodass tief verschachtelte Komponenten keine blinden Flecken mehr erzeugen.

Lizenz-Transparenz

Jede Komponente trägt ihre angegebene Lizenz. Erkennen Sie Lizenzpflichten und mögliche Konflikte neben der sicherheitsbezogenen Sicht auf Ihre Software.

Lieferanten-Verantwortung

Verfolgen Sie, welcher Lieferant welche Komponente geliefert hat. Fordern Sie SBOMs von Herstellern an und halten Sie Ihre Lieferkette an einen dokumentierten, prüfbaren Standard.

Kontinuierliche Überwachung

Komponenten werden neu bewertet, sobald neue Schwachstellen bekannt werden. Ein heute importiertes SBOM warnt Sie auch vor Risiken, die erst Monate später entdeckt werden.

Compliance

SBOMs und der EU Cyber Resilience Act

Der EU Cyber Resilience Act (CRA) macht das SBOM zur gesetzlichen Pflicht: Hersteller von Produkten mit digitalen Elementen müssen die enthaltenen Komponenten identifizieren und dokumentieren, unter anderem durch Erstellung eines Software Bill of Materials in einem gängigen, maschinenlesbaren Format. NIS-2 verstärkt das aus Betreibersicht und verpflichtet wesentliche und wichtige Einrichtungen zum Management von Lieferkettenrisiken, was ohne Kenntnis der eigenen Software-Komponenten unmöglich ist.

turingsecure liefert das Komponenten-Inventar, den Schwachstellenstatus und die exportierbare Dokumentation, um diese Pflichten zu erfüllen. Ob Sie Produkte unter dem CRA herstellen oder Dienste unter NIS-2 betreiben, die SBOM-Analyse erzeugt die Nachweise, die Prüfer und Kunden erwarten.

Cyber Resilience Act

Führen Sie das maschinenlesbare SBOM, das der CRA für Produkte mit digitalen Elementen verlangt, stets aktuell gehalten, wenn sich Abhängigkeiten und Schwachstellen ändern.

NIS-2-Lieferkette

Weisen Sie das Management von Lieferkettenrisiken durch ein dokumentiertes Komponenten-Inventar und kontinuierliche Schwachstellenverfolgung über Ihren Software-Bestand nach.

SBOM-Dokumentation für die Konformität mit EU Cyber Resilience Act und NIS-2

SBOM-Analyse vs. Threat Intelligence

Beide decken verwundbare Software auf, nähern sich ihr aber aus entgegengesetzten Richtungen. So greifen sie ineinander.

Wie unterscheidet sich SBOM-Analyse von Threat Intelligence?

SBOM-Analyse arbeitet von innen nach außen: Sie beginnt bei Ihrer eigenen Software und erfasst jede Komponente und Abhängigkeit, die Sie tatsächlich einsetzen, auch tief verschachtelte transitive. Threat Intelligence arbeitet von außen nach innen: Sie beginnt bei der globalen Bedrohungslage (neu veröffentlichte CVEs, CISA-KEV-Katalog, EPSS-Exploit-Prognose) und prüft, ob Sie davon betroffen sind. SBOM beantwortet „Was steckt in meiner Software?“, Threat Intelligence „Was ist gerade gefährlich?“.

Brauche ich SBOM-Analyse und Threat Intelligence?

Ja, sie ergänzen sich. Die SBOM-Analyse liefert das vollständige, präzise Komponenten-Inventar, sodass sich nichts in einer transitiven Abhängigkeit versteckt. Threat Intelligence legt Ausnutzungs-Kontext und Priorisierung darüber. Je vollständiger Ihr SBOM, desto genauer kann Threat Intelligence sagen, welche Ihrer Komponenten aktiv angegriffen werden.

Wissen, was in Ihrer Software steckt

Machen Sie aus Ihren SBOMs ein überwachtes Komponenten-Inventar und kommen Sie Lieferkettenrisiken und EU-Compliance-Fristen zuvor.