Software-Stückliste (SBOM)
Eine formelle Aufzeichnung der Komponenten, Bibliotheken und Module eines Software-Produkts in einem gängigen, maschinenlesbaren Format. Nach Anhang I Teil II des CRA müssen Hersteller eine SBOM erstellen, die mindestens die Top-Level-Abhängigkeiten ihres Produkts abdeckt. Die SBOM muss nicht veröffentlicht werden, muss aber Marktüberwachungsbehörden auf begründete Anfrage zur Verfügung gestellt werden.
Quellenangaben
Regulierungstext
Anhang I Teil II §1 der Verordnung (EU) 2024/2847 verpflichtet Hersteller:
„Schwachstellen und Komponenten in Produkten mit digitalen Elementen zu identifizieren und zu dokumentieren, auch durch Erstellung einer Software-Stückliste in einem gängigen, maschinenlesbaren Format, die zumindest die Top-Level-Abhängigkeiten der Produkte abdeckt".
Wesentliche Anforderungen
- Format: Maschinenlesbar und weitgehend akzeptiertes Format. Verbreitete Formate sind CycloneDX (ECMA-424) und SPDX (ISO 5962).
- Umfang: Mindestens Top-Level-Abhängigkeiten. Tiefere transitive Abhängigkeiten sind empfohlene Best Practice.
- Vertraulichkeit: Hersteller sind nicht verpflichtet, die SBOM zu veröffentlichen (Art. 13, Erwägungsgrund 77). Sie wird Marktüberwachungsbehörden auf begründete Anfrage zur Verfügung gestellt.
Zweck
Die SBOM ermöglicht Herstellern:
- Verwendete Drittkomponenten zu verfolgen
- Schnell zu beurteilen, ob bekannte Schwachstellen Komponenten im Produkt betreffen
- Due-Diligence-Nachweise bei der Integration von Drittkomponenten zu erbringen