SBOM-Generierung & Lifecycle-Management
Der CRA macht SBOMs zur Pflicht für jedes Produkt mit digitalen Elementen. Aber eine SBOM zu generieren ist nur der Anfang – Sie müssen sie über den gesamten Produktlebenszyklus verwalten und überwachen.
Die SBOM-Pflicht des CRA
Artikel 14 verpflichtet Hersteller, „Schwachstellen und Komponenten des Produkts zu identifizieren und zu dokumentieren, unter anderem durch Erstellung einer Software-Stückliste.“ Keine SBOM, keine CE-Kennzeichnung.
CycloneDX- & SPDX-Unterstützung
Import und Export in beiden SBOM-Hauptformaten. CycloneDX (OWASP) für sicherheitsfokussierte Workflows, SPDX (ISO/IEC 5962:2021) für Lizenzcompliance.
BSI TR-03183-2 Konformität
CRA-konforme SBOMs müssen Lieferantenname, Komponentenname und -version, eindeutige Identifikatoren, Abhängigkeitsbeziehungen, Lizenzinformationen und Hash-Werte enthalten.
Mindestanforderung: Top-Level-SBOM
Der CRA fordert mindestens eine Top-Level-SBOM. Kunnus unterstützt vollständige transitive Abhängigkeitsauflösung für umfassende Komponentensichtbarkeit.
Der SBOM-Lifecycle in Kunnus
Eine SBOM ist kein einmaliges Dokument. Kunnus managt alle vier Lifecycle-Phasen.
Phase 1: Generierung & Import
Import aus CI/CD-Pipelines (Syft, Trivy, cdxgen), manueller Upload oder PLM-Integration. CycloneDX und SPDX in JSON-, XML- und RDF-Formaten.
Phase 2: Anreicherung & Korrelation
Automatisches Schwachstellen-Mapping via NVD, OSV und Hersteller-Advisories. Lizenzanalyse, transitive Abhängigkeitsauflösung und CRA-relevante Komponentenklassifizierung.
Phase 3: Kontinuierliches Monitoring
Tägliche CVE-Scans, Alert-Generierung, SLA-Tracking und produktportfolioübergreifende Auswirkungsanalyse. Erforderlich für die CRA-Mindestsupportdauer von 5 Jahren.
Phase 4: Update- & Versionsmanagement
Versionsspezifische SBOM-Snapshots, Diff-Analyse über Releases, Lieferanten-SBOM-Integration und vollständiger Audit-Trail.
Warum SBOM-Management ohne Automatisierung scheitert
Skalierung: 10 Produkte × 500 Komponenten
5.000 Komponenten manuell tracken vs. zentrales Dashboard mit produktübergreifender Suche.
Geschwindigkeit: Täglich neue CVEs
Manuelle NVD-Prüfungen pro Komponente vs. automatisierte Korrelation mit sofortigen Alerts.
Compliance: 5 Jahre Monitoring-Pflicht
Manuelle Nachverfolgung für abgekündigte Produkte vs. Lifecycle-Management mit automatisiertem Monitoring bis End-of-Support.
Ihre SBOMs verdienen mehr als eine Tabellenkalkulation
CRA-konformes SBOM-Management ist ein kontinuierlicher Prozess. Kunnus automatisiert den gesamten Lifecycle.