SBOM-Analyse
Kennen Sie jede Komponente Ihrer Software. Analysieren Sie Software Bills of Materials, verknüpfen Sie Abhängigkeiten mit Ihren Assets und decken Sie verwundbare Komponenten auf, die Grundlage für Lieferkettensicherheit und die Konformität mit dem EU Cyber Resilience Act.
Was ist ein SBOM?
Ein vollständiges Inventar Ihrer Software-Komponenten
Ein Software Bill of Materials (SBOM) ist ein formales, maschinenlesbares Inventar aller Komponenten, Bibliotheken und Abhängigkeiten, aus denen sich eine Software zusammensetzt. Moderne Anwendungen bestehen aus hunderten Open-Source- und Drittanbieter-Komponenten, jede davon ist ein möglicher Einfallsweg für Angreifer, sobald eine Schwachstelle bekannt wird.
Ohne SBOM lässt sich die wichtigste Frage im Ernstfall nicht beantworten: „Sind wir betroffen?“ turingsecure importiert SBOMs in den gängigen Standards, SPDX und CycloneDX, und macht daraus ein durchsuchbares, kontinuierlich überwachtes Komponenten-Inventar, das mit Ihren Assets und der Schwachstellenlage verknüpft ist.
Software-Komposition
Wie funktioniert SBOM-Analyse in der Praxis?
Import & Zuordnung
Von der SBOM-Datei zu vernetzten Asset-Daten
Erzeugen Sie SBOMs in Ihrer Build-Pipeline oder erhalten Sie sie von Lieferanten und importieren Sie sie in turingsecure. Jede Komponente, mit Name, Version, Lizenz und Lieferant, wird eingelesen und dem Anwendungs- oder System-Asset zugeordnet, zu dem sie gehört. So erweitern Sie Ihr Asset-Inventar um eine präzise Software-Ebene.
- SPDX- & CycloneDX-Import
Importieren Sie SBOMs in den beiden etablierten maschinenlesbaren Standards, als Artefakte aus Ihrer CI/CD-Pipeline oder als Dokumente vorgelagerter Lieferanten.
- Auflösung von Abhängigkeiten
Direkte und transitive Abhängigkeiten werden mit ihren exakten Versionen eingelesen. So sehen Sie den vollständigen Komponentenbaum, nicht nur die bewusst eingebundenen Bibliotheken.
- Asset-Verknüpfung
Jede Software-Komponente wird dem Anwendungs- oder System-Asset zugeordnet, in dem sie läuft. Ihre SBOM-Daten werden Teil desselben Registers wie Ihre übrige Infrastruktur.
Abgleich & Priorisierung
Komponenten gegen bekannte Schwachstellen abgleichen
Ein SBOM ist nur dann nützlich, wenn es zeigt, wo das Risiko liegt. turingsecure gleicht jede Komponente und Version in Ihrem Inventar kontinuierlich mit der CVE-Datenbank, dem CISA-Katalog bekannter ausgenutzter Schwachstellen (KEV) und EPSS-Exploit-Prognosewerten ab.
Sobald eine Schwachstelle in einer von Ihnen genutzten Komponente bekannt wird, leuchten die betroffenen Assets auf, mit Schweregrad, Ausnutzungswahrscheinlichkeit und Behebungskontext. Das ist die Brücke zwischen Ihrem Software-Inventar und Ihrem Schwachstellenmanagement.
- CVE- & KEV-Abgleich
Jede Komponentenversion wird gegen bekannte CVEs und den CISA-KEV-Katalog geprüft. Verwundbare Abhängigkeiten werden automatisch aufgedeckt, ganz ohne manuelle Prüfung.
- Risikobasierte Priorisierung
Kombinieren Sie den CVSS-Schweregrad mit EPSS-Exploit-Prognosen, um die Behebung auf die Komponenten zu konzentrieren, die Angreifer tatsächlich zuerst ausnutzen dürften.
- Sofortige Betroffenheitsanalyse
Wenn die nächste Schwachstelle vom Kaliber Log4Shell auftritt, beantworten Sie „Sind wir betroffen, und wo?“ in Sekunden, per Suche im Komponenten-Inventar über alle Assets hinweg.
turingsecure in Aktion erleben
Entdecken Sie in einer persönlichen Demo, wie turingsecure Ihr Sicherheitsprogramm unterstützt.
SBOM-Lebenszyklus
Vom Komponenten-Inventar zur kontinuierlichen Absicherung
SBOM-Analyse verwandelt eine statische Abhängigkeitsliste in einen lebendigen, überwachten Teil Ihres Sicherheitsprogramms.
1. Erzeugen
Erzeugen Sie SBOMs in der Build-Pipeline für selbst entwickelte Software und sammeln Sie sie von Lieferanten für beschaffte Software ein. Standardformate halten den Prozess automatisierbar.
2. Importieren
SPDX- und CycloneDX-Dateien werden importiert. turingsecure löst direkte und transitive Abhängigkeiten mit ihren exakten Versionen, Lizenzen und Lieferanten auf.
3. Zuordnen
Jede Komponente wird dem Anwendungs- oder System-Asset zugeordnet, zu dem sie gehört, und erweitert das Asset-Register um eine präzise, abfragbare Software-Ebene.
4. Abgleichen
Komponenten werden kontinuierlich mit CVE-, CISA-KEV- und EPSS-Daten abgeglichen. Betroffene Assets werden automatisch markiert, sobald eine neue Schwachstelle bekannt wird.
5. Berichten
Exportieren Sie Komponenten-Inventare und Schwachstellenstatus als auditfähigen Nachweis für den EU Cyber Resilience Act, die NIS-2-Lieferkettenanforderungen und die Sorgfaltsprüfung von Kunden.
Kernfunktionen
Ihre Software-Lieferkette verstehen und steuern
Machen Sie aus jedem SBOM nutzbare Lieferketten-Intelligenz.
Komponenten-Inventar
Ein durchsuchbares Inventar aller Software-Komponenten, Versionen, Lizenzen und Lieferanten, aufgelöst aus SPDX- und CycloneDX-SBOMs und mit Ihren Assets verknüpft.
Schwachstellen-Abgleich
Kontinuierlicher Abgleich der Komponenten mit CVE, CISA KEV und EPSS. Verwundbare Abhängigkeiten werden automatisch mit Schweregrad und Ausnutzungskontext aufgedeckt.
Compliance-Nachweise
Auditfähige Komponenten- und Schwachstellenberichte für den EU Cyber Resilience Act, NIS-2 und die Lieferanten-Sorgfaltsprüfung, exportierbar in maschinenlesbaren Formaten.
Lieferketten-Transparenz
Vollständiger Einblick in Drittanbieter- und Open-Source-Risiken
- Transitive Abhängigkeiten
Sehen Sie über die bewusst gewählten Bibliotheken hinaus. Der vollständige Abhängigkeitsbaum wird aufgelöst, sodass tief verschachtelte Komponenten keine blinden Flecken mehr erzeugen.
- Lizenz-Transparenz
Jede Komponente trägt ihre angegebene Lizenz. Erkennen Sie Lizenzpflichten und mögliche Konflikte neben der sicherheitsbezogenen Sicht auf Ihre Software.
- Lieferanten-Verantwortung
Verfolgen Sie, welcher Lieferant welche Komponente geliefert hat. Fordern Sie SBOMs von Herstellern an und halten Sie Ihre Lieferkette an einen dokumentierten, prüfbaren Standard.
- Kontinuierliche Überwachung
Komponenten werden neu bewertet, sobald neue Schwachstellen bekannt werden. Ein heute importiertes SBOM warnt Sie auch vor Risiken, die erst Monate später entdeckt werden.
Verwandte Module
SBOM-Analyse verbindet Ihr Sicherheits-Ökosystem
Komponenten-Daten reichern Ihre Asset-, Schwachstellen- und Threat-Module um Kontext auf Software-Ebene an.
- Asset Management
SBOM-Analyse erweitert das Asset-Register um eine präzise Software-Ebene, sodass jedes Anwendungs-Asset sein vollständiges Komponenten-Inventar trägt.
- Schwachstellenmanagement
Verwundbare Komponenten werden zu nachverfolgten Findings mit CVSS-Bewertung und Behebungs-Workflows, direkt neben Pentest- und Scan-Ergebnissen.
- Threat Intelligence
Komponentenversionen werden gegen die CVE-Datenbank, den CISA-KEV-Katalog und EPSS-Werte abgeglichen, um sich auf aktiv ausgenutzte Schwachstellen zu konzentrieren.
- Attack Surface Management
Verknüpfen Sie exponierte Dienste mit den dahinter laufenden Komponenten und verbinden Sie so die externe Angriffsfläche mit der zugrunde liegenden Software-Lieferkette.
Compliance
SBOMs und der EU Cyber Resilience Act
Der EU Cyber Resilience Act (CRA) macht das SBOM zur gesetzlichen Pflicht: Hersteller von Produkten mit digitalen Elementen müssen die enthaltenen Komponenten identifizieren und dokumentieren, unter anderem durch Erstellung eines Software Bill of Materials in einem gängigen, maschinenlesbaren Format. NIS-2 verstärkt das aus Betreibersicht und verpflichtet wesentliche und wichtige Einrichtungen zum Management von Lieferkettenrisiken, was ohne Kenntnis der eigenen Software-Komponenten unmöglich ist.
turingsecure liefert das Komponenten-Inventar, den Schwachstellenstatus und die exportierbare Dokumentation, um diese Pflichten zu erfüllen. Ob Sie Produkte unter dem CRA herstellen oder Dienste unter NIS-2 betreiben, die SBOM-Analyse erzeugt die Nachweise, die Prüfer und Kunden erwarten.
- Cyber Resilience Act
Führen Sie das maschinenlesbare SBOM, das der CRA für Produkte mit digitalen Elementen verlangt, stets aktuell gehalten, wenn sich Abhängigkeiten und Schwachstellen ändern.
- NIS-2-Lieferkette
Weisen Sie das Management von Lieferkettenrisiken durch ein dokumentiertes Komponenten-Inventar und kontinuierliche Schwachstellenverfolgung über Ihren Software-Bestand nach.
SBOM-Analyse vs. Threat Intelligence
Beide decken verwundbare Software auf, nähern sich ihr aber aus entgegengesetzten Richtungen. So greifen sie ineinander.
- Wie unterscheidet sich SBOM-Analyse von Threat Intelligence?
SBOM-Analyse arbeitet von innen nach außen: Sie beginnt bei Ihrer eigenen Software und erfasst jede Komponente und Abhängigkeit, die Sie tatsächlich einsetzen, auch tief verschachtelte transitive. Threat Intelligence arbeitet von außen nach innen: Sie beginnt bei der globalen Bedrohungslage (neu veröffentlichte CVEs, CISA-KEV-Katalog, EPSS-Exploit-Prognose) und prüft, ob Sie davon betroffen sind. SBOM beantwortet „Was steckt in meiner Software?“, Threat Intelligence „Was ist gerade gefährlich?“.
- Brauche ich SBOM-Analyse und Threat Intelligence?
Ja, sie ergänzen sich. Die SBOM-Analyse liefert das vollständige, präzise Komponenten-Inventar, sodass sich nichts in einer transitiven Abhängigkeit versteckt. Threat Intelligence legt Ausnutzungs-Kontext und Priorisierung darüber. Je vollständiger Ihr SBOM, desto genauer kann Threat Intelligence sagen, welche Ihrer Komponenten aktiv angegriffen werden.
Wissen, was in Ihrer Software steckt
Machen Sie aus Ihren SBOMs ein überwachtes Komponenten-Inventar und kommen Sie Lieferkettenrisiken und EU-Compliance-Fristen zuvor.