SBOM- und Schwachstellen-Analyse

Eine Software-Bill-of-Materials (SBOM) ist die Stückliste einer Software: sie listet alle enthaltenen Komponenten und deren Versionen auf. Die SBOM-Analyse von Compliance-Cloud hilft Ihnen, in der Software Ihrer Lieferanten bekannte Schwachstellen zu erkennen.

Warum SBOMs?

Moderne Software besteht zu großen Teilen aus Open-Source-Komponenten. Wird in einer davon eine Schwachstelle bekannt (Stichwort Log4Shell), müssen Sie wissen: Bin ich betroffen? Eine SBOM beantwortet genau diese Frage — und die CRA macht SBOMs für viele Produkte künftig verpflichtend.

Eine SBOM hochladen

1. Öffnen Sie SBOMs → SBOM hochladen.
2. Wählen Sie die Datei. Unterstützt werden die Standardformate CycloneDX (JSON/XML) und SPDX.
3. Ordnen Sie die SBOM optional einem Lieferanten oder Produkt zu.
4. Nach dem Upload zerlegt Compliance-Cloud die Datei in ihre Komponenten und startet automatisch den Abgleich gegen die Schwachstellen-Datenbank.

app.compliance-cloud.eu/sboms

SBOM-Detailansicht mit Komponentenliste und gefundenen Schwachstellen

Nach dem Upload: Komponenten links, zugeordnete Schwachstellen mit Schweregrad rechts.

Komponenten und Schwachstellen

Nach der Analyse sehen Sie zwei verknüpfte Ansichten:

• Komponenten — alle Pakete der SBOM mit Name, Version und Paket-URL (purl).
• Schwachstellen — die zu diesen Komponenten bekannten CVEs, jeweils mit CVSS-Schweregrad, Beschreibung und betroffener Versionsspanne.

Die Schwachstellendaten stammen aus öffentlichen Quellen (u. a. der NVD) und werden regelmäßig aktualisiert.

Treffer sind nicht perfekt

Der Abgleich erfolgt über die Paket-URL (purl) und ist von Natur aus nicht fehlerfrei — es kann zu falsch-positiven Treffern kommen. Sie können einzelne Treffer daher manuell als „nicht zutreffend“ markieren und mit einer Begründung versehen. So bleibt Ihre Schwachstellenliste belastbar.

Priorisieren und reagieren

Nicht jede Schwachstelle ist gleich dringlich. Compliance-Cloud sortiert nach Schweregrad, sodass Sie kritische Funde zuerst sehen. Von dort aus können Sie:

• den betroffenen Lieferanten kontaktieren (etwa per Rückfrage in einem Fragebogen),
• den Fund einer Aufgabe oder einem Workflow zuordnen,
• den Status dokumentieren (z. B. „durch Lieferanten-Update behoben“).

Warnregeln

Damit neue kritische Schwachstellen Sie nicht entgehen, lassen sich Warnregeln definieren — etwa „benachrichtige mich, sobald in einer SBOM eines kritischen Lieferanten eine Schwachstelle mit CVSS ≥ 9.0 auftaucht”. Die Benachrichtigung erreicht Sie dann automatisch; siehe Benachrichtigungen.

SBOM-Analyse selbst ausprobieren

Laden Sie im kostenlosen Test eine eigene CycloneDX- oder SPDX-Datei hoch.

Kostenlos starten