{"id":27870,"date":"2025-07-25T14:18:48","date_gmt":"2025-07-25T12:18:48","guid":{"rendered":"https:\/\/blog.mi.hdm-stuttgart.de\/?p=27870"},"modified":"2025-07-25T14:24:12","modified_gmt":"2025-07-25T12:24:12","slug":"tools-zur-automatischen-erstellung-von-sboms","status":"publish","type":"post","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/07\/25\/tools-zur-automatischen-erstellung-von-sboms\/","title":{"rendered":"Tools zur automatischen Erstellung von SBOMs"},"content":{"rendered":"\n<p class=\"has-text-align-left\"><em>Transparenz und Sicherheit durch automatisierte Software-St\u00fccklisten<\/em><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Anmerkung:<\/strong>&nbsp;Dieser Blogpost wurde w\u00e4hrend dem Sommersemester 2025 f\u00fcr das Modul Enterprise IT (113601a) verfasst.<\/p>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading has-x-large-font-size\"><strong>1. Einleitung<\/strong><\/h2>\n\n\n\n<p>Moderne Software besteht l\u00e4ngst nicht mehr nur aus eigenem Quellcode. In nahezu jedem Projekt werden gro\u00dfe Mengen externer Bibliotheken, Frameworks und Open-Source-Komponenten genutzt. Wie auch bei physischen Lieferketten sind jedoch auch die einzelnen Komponenten von Software-Produkten sowohl f\u00fcr Unternehmen als auch deren Kunden nicht immer klar ersichtlich.<\/p>\n\n\n\n<p>Je nach Projekt kommen schnell Hunderte von Abh\u00e4ngigkeiten zusammen, viele davon mit weiteren, indirekten Abh\u00e4ngigkeiten, die sich \u00fcber verschiedene Versionen, Quellen und Lizenzmodelle erstrecken. Diese komplexe Struktur macht es schwierig den \u00dcberblick zu behalten und erschwert es, Sicherheitsl\u00fccken, Schwachstellen oder Lizenzkonflikte rechtzeitig zu erkennen. Gleichzeitig steigt der Druck auf Unternehmen f\u00fcr mehr Transparenz in ihren Software-Lieferketten zu sorgen, um potenzielle Risiken besser einsch\u00e4tzen und minimieren zu k\u00f6nnen.<\/p>\n\n\n\n<p>Die Notwendigkeit, die Herkunft, Vertrauensw\u00fcrdigkeit und Aktualit\u00e4t aller eingesetzten Komponenten nachvollziehbar zu dokumentieren, r\u00fcckt deshalb zunehmend in den Mittelpunkt moderner Softwareentwicklung sowohl im Hinblick auf Sicherheit als auch auf Qualit\u00e4t und Compliance.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-x-large-font-size\"><strong>2. Was sind SBOMs<\/strong><\/h2>\n\n\n\n<p>An dieser Stelle setzt das Konzept der Software Bill of Materials (SBOM) an: Eine strukturierte Liste s\u00e4mtlicher Bestandteile einer Software, welche mit einer St\u00fcckliste in der industriellen Fertigung vergleichbar ist&nbsp;[1]. SBOMs helfen Unternehmen somit, die Software-Lieferkette ihrer Produkte besser zu kontrollieren, um Sicherheitsrisiken rechtzeitig zu erkennen und Lizenzverpflichtungen einzuhalten.<\/p>\n\n\n\n<p>Eine SBOM listet dabei nicht nur die direkt verwendeten Bibliotheken oder Frameworks auf, sondern schlie\u00dft auch deren indirekte Abh\u00e4ngigkeiten ein also alle Komponenten, von denen ein Projekt auf irgendeine Weise abh\u00e4ngt. Die Informationen innerhalb einer SBOM umfassen typischerweise Name, Version, Herkunft (z.\u202fB. Registry oder Git-Repository), Lizenztyp sowie h\u00e4ufig auch Hashwerte zur Integrit\u00e4tspr\u00fcfung. Je nach Format und Standard etwa SPDX (Software Package Data Exchange), CycloneDX oder SWID (Software Identification Tags) k\u00f6nnen SBOMs noch zus\u00e4tzliche technische und rechtliche Informationen enthalten.<\/p>\n\n\n\n<p>Der gro\u00dfe Vorteil einer SBOM liegt in der verbesserten Nachvollziehbarkeit: Unternehmen und Organisationen wissen zu jedem Zeitpunkt, welche externen Komponenten in einem Produkt enthalten sind. Im Falle einer neu entdeckten Schwachstelle, beispielsweise in einer weit verbreiteten Bibliothek, kann dadurch schnell identifiziert werden, ob und wo genau betroffene Versionen verwendet werden. So lassen sich Sicherheitsl\u00fccken schneller schlie\u00dfen, Risiken minimieren und Reaktionszeiten deutlich verk\u00fcrzen.<\/p>\n\n\n\n<p>Dar\u00fcber hinaus leisten SBOMs einen wichtigen Beitrag zur Lizenz-Compliance. In vielen Projekten werden Open-Source-Komponenten mit unterschiedlichen Lizenzbedingungen kombiniert. Eine vollst\u00e4ndige und aktuelle SBOM erm\u00f6glicht es, m\u00f6gliche Konflikte fr\u00fchzeitig zu erkennen und rechtliche Konsequenzen zu vermeiden, etwa durch die versehentliche Verletzung von Copyleft-Bestimmungen oder fehlende Lizenznennungen.<\/p>\n\n\n\n<p>Nicht zuletzt f\u00f6rdern SBOMs auch die Zusammenarbeit zwischen verschiedenen Akteuren in der Softwareentwicklung. Gerade in gr\u00f6\u00dferen Projekten mit mehreren Teams oder externen Dienstleistern sorgt eine zentral gepflegte Software-St\u00fcckliste f\u00fcr Transparenz und ein gemeinsames Verst\u00e4ndnis \u00fcber den Aufbau und die Abh\u00e4ngigkeiten eines Produkts.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-large-font-size\">2.1 Welche Informationen sind darin enthalten?<\/h2>\n\n\n\n<p>SBOMs enthalten dabei Informationen \u00fcber:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Namen<\/strong> und <strong>Versionen<\/strong> verwendeter<strong> Bibliotheken<\/strong><\/li>\n\n\n\n<li><strong>Typ<\/strong> (z.B. library, container, file, \u2026)<\/li>\n\n\n\n<li><strong>Herkunft<\/strong> (Quelle\/Hersteller)<\/li>\n\n\n\n<li><strong>Hash \/ Checksumme<\/strong><\/li>\n\n\n\n<li><strong>Package URL<\/strong><\/li>\n\n\n\n<li><strong>Lizenz<\/strong>informationen<\/li>\n\n\n\n<li><strong>Beziehungen<\/strong> und <strong>Abh\u00e4ngigkeiten <\/strong>zwischen Komponenten<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading has-large-font-size\">2.2 Welchen Nutzen haben SBOMs?<\/h2>\n\n\n\n<p>Eine Software Bill of Materials kann Software-Entwicklern helfen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Ungeplante<\/strong> und <strong>unvorhergesehene Arbeiten<\/strong> zu reduzieren<\/li>\n\n\n\n<li><strong>Code-Bloat<\/strong> (\u00dcberm\u00e4\u00dfige Codegr\u00f6\u00dfe durch unn\u00f6tige Abh\u00e4ngigkeiten) zu verringern<\/li>\n\n\n\n<li><strong>Abh\u00e4ngigkeiten<\/strong> in komplexen Projekten besser zu verstehen<\/li>\n\n\n\n<li><strong>Lizenzverpflichtungen<\/strong> zu kennen und einzuhalten<\/li>\n\n\n\n<li>Komponenten auf <strong>Sicherheitsl\u00fccken<\/strong> zu \u00fcberpr\u00fcfen<\/li>\n\n\n\n<li>Komponenten mit <strong>abgelaufenem Support<\/strong> (End of Life) zu identifizieren<\/li>\n\n\n\n<li><strong>Codequalit\u00e4t<\/strong> zu verbessern und <strong>Code-Reviews<\/strong> zu erleichtern<\/li>\n\n\n\n<li><strong>Unzul\u00e4ssige<\/strong> oder <strong>verbotene<\/strong> Komponenten durch <strong>Blacklists<\/strong> auszuschlie\u00dfen<\/li>\n\n\n\n<li>Notwendige <strong>Informationen<\/strong> an Kunden oder Partner <strong>weiterzugeben<\/strong><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading has-large-font-size\">2.3 Wie SBOMs aufgebaut sind<\/h2>\n\n\n\n<p>Derzeit werden haupts\u00e4chlich zwei SBOM-Formate genutzt \u2013 <em>Software Package Data Exchange (SPDX)<\/em> und <em>CycloneDX<\/em>&nbsp;[2]<br>. Bei beiden Formaten handelt es sich um maschinenlesbare Open-Source-Formate, welche sich jedoch in ihrer Zielsetzung, Struktur und dem bevorzugten Einsatzbereich unterscheiden&nbsp;[3]<br>. Ihre Gemeinsamkeiten und Unterschiede sind in folgender Tabelle zusammengefasst:<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-large-font-size\">2.4 SPDX vs. CycloneDX \u2013 Unterschiede im \u00dcberblick<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td>Aspekt<\/td><td>SPDX<\/td><td>CycloneDX<\/td><\/tr><tr><td>0Entstehung\/Fokus<\/td><td>2011, Linux Foundation<\/td><td>2018, OWASP Community<\/td><\/tr><tr><td>Format-Unterst\u00fctzung<\/td><td>JSON, YAML, XML\/RDF, Tag-Value, Spreadsheet<\/td><td>JSON, XML, Protobuf<\/td><\/tr><tr><td>Komplexit\u00e4t &amp; Gr\u00f6\u00dfe<\/td><td>Umfangreicher, \u201emonolithischer\u201c Standard mit vielen Details<\/td><td>Modularer \u201eLightweight\u201c-Ansatz mit Erweiterbarkeit<\/td><\/tr><tr><td>Lizenzdaten-Fokus<\/td><td>Sehr umfangreiche Lizenzdaten<\/td><td>Enth\u00e4lt Lizenzinformationen, aber weniger umfassend<\/td><\/tr><tr><td>Sicherheits-Fokus<\/td><td>Unterst\u00fctzung f\u00fcr CVEs, Vulnerability-Tracking dank neuer Profile<\/td><td>St\u00e4rker auf Sicherheit ausgerichtet, digitale Signaturen integriert<\/td><\/tr><tr><td>Besonders geeignet f\u00fcr<\/td><td>Lizenz-Compliance und Enterprise-Standards<\/td><td>Sicherheit und schnelle Vulnerability-Aktualisierung<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Neben SDPX und CycloneDX wurden auch noch sogenannte <em>Software identification (SWID) tags<\/em> entwickelt, die als Teil eines ISO-Standards Software-Komponenten mithilfe von Metadaten identifizierbar machen sollen. Die Nutzung dieser <em>SWIDs<\/em> hat sich jedoch nicht weitgehend durchgesetzt. Die Nutzbarkeit dieser <em>SWIDs<\/em> kann jedoch bei Vergleichen verschiedener SBOM-Tools erw\u00e4hnt werden&nbsp;[4].<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-x-large-font-size\"><strong>3. Warum automatische SBOM-Tools wichtig sind<\/strong><\/h2>\n\n\n\n<p>W\u00e4hrend manche <em>SBOMs<\/em> f\u00fcr die \u00d6ffentlichkeit zug\u00e4nglich sind, k\u00f6nnen auch Zugangsbeschr\u00e4nkungen vorliegen, bei denen nur bestimmte Stakeholder<\/p>\n\n\n\n<p>Da die stetig steigende Komplexit\u00e4t moderner Software die manuelle Erstellung solcher St\u00fccklisten unrealistisch macht, gewinnen Tools zur automatischen Erstellung von <em>SBOMs<\/em> mehr und mehr an Bedeutung.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-large-font-size\">3.1 Vorteile automatischer SBOM-Tools:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Effizienz:<\/strong> Automatisierte Analysen sparen Zeit und Aufwand<\/li>\n\n\n\n<li><strong>Aktualit\u00e4t:<\/strong> Tools k\u00f6nnen bei jedem Build oder Release automatisch eine aktuelle SBOM erzeugen<\/li>\n\n\n\n<li><strong>Konsistenz:<\/strong> Manuell gepflegte <em>SBOMs<\/em> werden oft veraltet oder unvollst\u00e4ndig<\/li>\n\n\n\n<li><strong>Fehlervermeidung:<\/strong> Tools erkennen alle relevanten Abh\u00e4ngigkeiten systematisch (auch transitive Dependencies)<\/li>\n\n\n\n<li><strong>Integration in DevOps \/ CI\/CD: <\/strong>Tools lassen sich direkt in Build-Prozesse einbinden. Manuelle Erstellung ist nicht skalierbar f\u00fcr Continuous Delivery.<\/li>\n\n\n\n<li><strong>Bessere Sicherheits\u00fcberwachung:<\/strong> Tools k\u00f6nnen <em>SBOMs<\/em> direkt mit Schwachstellen-Datenbanken (<em>CVEs<\/em>) abgleichen<\/li>\n\n\n\n<li><strong>Skalierbarkeit:<\/strong> Automatische L\u00f6sungen funktionieren auch f\u00fcr gro\u00dfe Projekte mit tausenden Abh\u00e4ngigkeiten.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading has-large-font-size\">3.2 Welche SBOM-Tools gibt es?<\/h2>\n\n\n\n<p>Da die beiden SBOM-Formate SPDX und CycloneDX open-source-Formate sind gro\u00dfe Mengen verschiedener SBOM-Tools auf dem Markt erh\u00e4ltlich. Diese Tools unterscheiden sich unter anderem in ihrem bevorzugten Einsatzgebiet, unterst\u00fctzten Formaten oder in ihren angebotenen Funktionen.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td>&nbsp;<\/td><td>Supported SBOM-Formate<\/td><td>Focus<\/td><td>Ecosystem Coverage<\/td><td>License Detection<\/td><\/tr><tr><td>Syft (Anchore)<\/td><td>SPDX, CycloneDX<\/td><td>SBOM Generation<\/td><td>Multi-Language, Containers<\/td><td>Planned<\/td><\/tr><tr><td>OWASP Dependency-Check<\/td><td>CycloneDX<\/td><td>Vulnerability Scanning<\/td><td>Java, .NET, Python, Ruby<\/td><td>Limited<\/td><\/tr><tr><td>FOSSA<\/td><td>SPDX<\/td><td>Compliance, Licensing<\/td><td>Multi-Language<\/td><td>Yes<\/td><\/tr><tr><td>CycloneDX CLI<\/td><td>CycloneDX<\/td><td>CycloneDX Compatibility<\/td><td>Multi-Language<\/td><td>No<\/td><\/tr><tr><td>Trivy (AquaSec)<\/td><td>SPDX, CycloneDX<\/td><td>Vulnerability &amp; SBOM<\/td><td>Containers<\/td><td>No<\/td><\/tr><tr><td>SPDX-Tools (Linux Foundation)<\/td><td>SPDX<\/td><td>SPDX Compliance<\/td><td>Multi-Language<\/td><td>No (format-only)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"has-small-font-size\"><em>Abbildung 1: Vergleich von Funktionalit\u00e4ten verschiedener SBOM-Tools&nbsp;[5]<\/em><\/p>\n\n\n\n<p class=\"has-large-font-size\">3.3 Fallbeispiel: OpenSSF SBOM Test<\/p>\n\n\n\n<p>Wie SBOMs durch weitere Sicherheitsma\u00dfnahmen erg\u00e4nzt werden k\u00f6nnen, zeigt ein Praxistest von OpenSSF.<\/p>\n\n\n\n<p>Hierbei wurde untersucht, inwieweit Scorecards im Zusammenspiel mit SBOMs eine genauere Analyse der Vertrauensw\u00fcrdigkeit von Open-Source Software erlaub&nbsp;[5]t. Im Rahmen dieser Analyse wurde f\u00fcr die beiden Open-Source Projekte Kibana und Antrea jeweils eine SBOM angelegt und deren Sicherheits-Aspekte anhand einer Scorecard evaluiert.<\/p>\n\n\n\n<p>Eine Regel, welche zur Bewertung dieser Scorecards genutzt wird, ist die <em>Binary Artifacts Rule. <\/em>Hierbei werden Projekte auf die Nutzung von Bin\u00e4ren Artefakten untersucht, welche aufgrund ihrer Intransparenz als unsicher eingestuft werden. Eine Punktzahl von Zehn wird dabei bei Projekten vergeben, welche keine Bin\u00e4ren Artefakte enthalten, w\u00e4hrend bei Zehn oder mehr Artefakten eine Punktzahl von Null vergeben wird.<\/p>\n\n\n\n<p>Gefundene Abh\u00e4ngigkeiten, die den <em>Binary Artifacts Test<\/em> nicht bestanden haben, k\u00f6nnen weitergehend untersucht und bewertet werden, um m\u00f6gliche Sicherheitsrisiken zu finden.<\/p>\n\n\n\n<p>Dieser Proof-of-Concept zeigt laut OpenSSF das Potenzial kombinierter Nutzung von SBOMs mit Scorecard-Daten zur Bewertung von Sicherheitsrisiken.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-x-large-font-size\"><strong>4. Zukunftsausblick<\/strong><\/h2>\n\n\n\n<p>Mit zunehmender Verlagerung von Softwareentwicklungs-Prozessen in die Cloud und wachsendem Einsatz von Open-Source-Komponenten wird die Transparenz in Hinblick auf eingesetzte Software-Bestandteile verpflichtend. Die Bedeutung von Software Bill of Materials wird sich daher in den kommenden Jahren weiter verst\u00e4rken.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-large-font-size\">4.1 Regulatorische Entwicklungen<\/h2>\n\n\n\n<p>Beh\u00f6rden weltweit machen SBOMs zur verbindlichen Anforderung f\u00fcr Software:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>In den USA wurde SBOMs mit der Executive Order 14028 (2021) zur Software Supply Chain Security zum gesetzlichen Standard f\u00fcr staatlich bezogene Softwareprojekte erkl\u00e4rt&nbsp;[6]. Weiter wurden Mindestanforderungen an SBOMs definiert.<\/li>\n\n\n\n<li>Auch in der EU treten strengere Auflagen f\u00fcr Produkte mit Software-Komponenten in Kraft, welche bessere Cyber-Security \u00fcber den gesamten Lebenszyklus von Produkten garantieren sollen&nbsp;[7].<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading has-large-font-size\">4.2 Automatisierung statt manueller Pflege<\/h2>\n\n\n\n<p>Die stetig steigende Komplexit\u00e4t von Softwareprojekten macht eine manuelle Erstellung von SBOMs inklusive Abh\u00e4ngigkeitslisten nahezu unm\u00f6glich. Tools wie Syft, Trivy, Tern oder ORT werden sich vermutlich nicht nur als Best Practice, sondern als zwingende Voraussetzung zur Einhaltung von Compliance und Cyber-Security-Auflagen durchsetzen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-large-font-size\">4.3 Integrierung in den Software-Lifecycle<\/h2>\n\n\n\n<p>Unternehmen werden SBOMs nicht separat durch Drittanbieter erstellen lassen m\u00fcssen, sondern die n\u00f6tigen Tools werden in Plattformen wie GitHub, GitLab oder Azure DevOps integriert sein. Bereits heute f\u00f6rdern Unternehmen wie GitHub, Google oder Amazon aktiv SBOM-Initiativen und entwickeln neue APIs und Standards.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-large-font-size\">4.4 AI Bill of Materials<\/h2>\n\n\n\n<p>Durch die stark zunehmende Nutzung von k\u00fcnstlicher Intelligenz (KI) in der Software- Entwicklung r\u00fcckt auch die Nutzung von AI Bill of Materials (AI-BOM) in den Vordergrund&nbsp;[9]<br>. Als Erg\u00e4nzung zu SBOMs werden in ihnen Datens\u00e4tze, Modelle, Software, Hardware und Abh\u00e4ngigkeiten \u00fcber den gesamten Lifecycle von KI-Systemen dokumentiert.&nbsp; Auch durch die breite Nutzung von KI in nicht-produzierenden Bereichen von Unternehmen werden AI-BOMs in Zukunft mehr und mehr an Bedeutung gewinnen.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong><em>\u201cIt won\u2019t be long until SBOMs become table stakes for anyone operating an online business\u201d<\/em><\/strong><em> <\/em>\u2013 Josh Bressers, Anchore (2025)&nbsp;[9]<br><\/p>\n<\/blockquote>\n\n\n\n<h1 class=\"wp-block-heading has-large-font-size\" style=\"border-style:none;border-width:0px\"><strong><em>Literaturverzeichnis<\/em><\/strong><\/h1>\n\n\n\n<p>Literaturverzeichnis [1] National Telecommunications and Information Administration, \u201eSoftware Bill of Materials,\u201c o.D.. [Online]. Available: <a href=\"https:\/\/www.ntia.gov\/page\/software-bill-materials\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.ntia.gov\/page\/software-bill-materials<\/a>. [Zugriff am 20 Juli 2025]. <\/p>\n\n\n\n<p>[2] Scribe Security, \u201eSBOM Example: a Sample of SBOM File Explained,\u201c Dezember 2023. [Online]. Available: <a href=\"https:\/\/scribesecurity.com\/sbom\/sample-sbom\/#sbom-samples\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/scribesecurity.com\/sbom\/sample-sbom\/#sbom-samples<\/a>. [Zugriff am 22 Juli 2025]. <\/p>\n\n\n\n<p>[3] Scribe Security, \u201eSPDX vs. CycloneDX: SBOM Formats Compared,\u201c Februar 2023. [Online]. Available: <a href=\"https:\/\/scribesecurity.com\/blog\/spdx-vs-cyclonedx-sbom-formats-compared\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/scribesecurity.com\/blog\/spdx-vs-cyclonedx-sbom-formats-compared\/<\/a>. [Zugriff am 23 Juli 2025]. <\/p>\n\n\n\n<p>[4] J. Walker, \u201eGenerating SBOM,\u201c Earthly, 29 Dezember 2023. [Online]. Available: <a href=\"https:\/\/earthly.dev\/blog\/generating-sbom\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/earthly.dev\/blog\/generating-sbom\/<\/a>. [Zugriff am 23 Juli 2025]. <\/p>\n\n\n\n<p>[5] OpenSSF, \u201eAssessing Product Risk Using SBOMs and OpenSSF Scorecard,\u201c OpenSSF, 14 April 2023. [Online]. Available: <a href=\"https:\/\/openssf.org\/blog\/2023\/04\/14\/assessing-product-risk-using-sboms-and-openssf-scorecard\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/openssf.org\/blog\/2023\/04\/14\/assessing-product-risk-using-sboms-and-openssf-scorecard\/<\/a>. [Zugriff am 23 Juli 2025]. <\/p>\n\n\n\n<p>[6] PWC, \u201eUS Executive Order 14028: Open Source users,\u201c 13 September 2021. [Online]. Available: <a href=\"https:\/\/www.pwc.de\/en\/digitale-transformation\/open-source-software-management-and-compliance\/us-executive-order-14028-what-it-means-for-open-source-users.html\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.pwc.de\/en\/digitale-transformation\/open-source-software-management-and-compliance\/us-executive-order-14028-what-it-means-for-open-source-users.html<\/a>. [Zugriff am 23 Juli 2025]. <\/p>\n\n\n\n<p>[7] European Commission, \u201eCyber Resilience Act,\u201c 6 M\u00e4rz 2025. [Online]. Available: <a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/cyber-resilience-act\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/cyber-resilience-act<\/a>. [Zugriff am 23 Juli 2025].<\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Transparenz und Sicherheit durch automatisierte Software-St\u00fccklisten Anmerkung:&nbsp;Dieser Blogpost wurde w\u00e4hrend dem Sommersemester 2025 f\u00fcr das Modul Enterprise IT (113601a) verfasst. 1. Einleitung Moderne Software besteht l\u00e4ngst nicht mehr nur aus eigenem Quellcode. In nahezu jedem Projekt werden gro\u00dfe Mengen externer Bibliotheken, Frameworks und Open-Source-Komponenten genutzt. Wie auch bei physischen Lieferketten sind jedoch auch die einzelnen [&hellip;]<\/p>\n","protected":false},"author":1276,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[659,26,21,2],"tags":[1129,1128,1088,1130],"ppma_author":[1127],"class_list":["post-27870","post","type-post","status-publish","format-standard","hentry","category-devops","category-secure-systems","category-system-architecture","category-system-engineering","tag-cyclonedx","tag-open-source-security","tag-sbom","tag-tools"],"aioseo_notices":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":27883,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/07\/25\/tools-zur-automatischen-erstellung-von-software-bill-of-materials-sbom-2\/","url_meta":{"origin":27870,"position":0},"title":"Tools zur automatischen Erstellung von Software Bill of Materials (SBOM)","author":"Luca-Max Baur","date":"25. July 2025","format":false,"excerpt":"Anmerkung:\u00a0Dieser Blogpost wurde w\u00e4hrend dem Sommersemester 2025 f\u00fcr das Modul Enterprise IT (113601a) verfasst. \u201eI cant fix what I cant see\u201cOhne Kenntnisse \u00fcber die benutzten Komponenten und Libraries agieren Softwareentwickler wie im Blindflug bez\u00fcglich ihrer Software-Sicherheit. Bekannte Supply Chain Angriffe wie SolarWinds oder die Log4shell L\u00fccke haben genau dies gezeigt.\u2026","rel":"","context":"In &quot;Allgemein&quot;","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":28021,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/09\/13\/multiplayer-web-game-mit-aws-schiffe-versenken\/","url_meta":{"origin":27870,"position":1},"title":"Multiplayer Web-Game mit AWS | Schiffe versenken","author":"Leon Obertopp","date":"13. September 2025","format":false,"excerpt":"Projektidee: Im Rahmen der Vorlesung \"Software Development for Cloud Computing\" sollen die Studierenden in Gruppen ein eigenes Projekt, mit Hilfe von in der Vorlesung gezeigten Cloud Technologien umsetzen. Wir hatten Anfangs Probleme ein geeignetes Thema zu finden, da unser Wissenstand im Thema Cloud nicht besonders gro\u00df war. Letztendlich haben wir\u2026","rel":"","context":"In &quot;Allgemein&quot;","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/09\/image-4.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/09\/image-4.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/09\/image-4.png?resize=525%2C300&ssl=1 1.5x"},"classes":[]},{"id":27563,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/02\/28\/die-technische-entwicklung-einer-open-source-losung-zur-bildoptimierung\/","url_meta":{"origin":27870,"position":2},"title":"Die technische Entwicklung einer Open-Source-L\u00f6sung zur Bildoptimierung","author":"Lennart Gastler","date":"28. February 2025","format":false,"excerpt":"Im Rahmen meines Systems Engineering Projektes habe ich die shuto-api entwickelt \u2013 eine in Go geschriebene Open-Source-Bildoptimierungsl\u00f6sung. Mein Ziel war es, eine flexible, self-hostable und erweiterbare API zu erstellen, welche ohne viele Probleme in bereits bestehende Systeme integriert werden kann. Der Service erm\u00f6glicht es, Bilder zu komprimieren, zu skalieren sowie\u2026","rel":"","context":"In &quot;System Designs&quot;","block_context":{"text":"System Designs","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/system-designs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/02\/image-17.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/02\/image-17.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/02\/image-17.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/02\/image-17.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/02\/image-17.png?resize=1050%2C600&ssl=1 3x"},"classes":[]},{"id":27382,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/02\/27\/tools-zur-automatischen-erstellung-von-software-bill-of-materials-sbom\/","url_meta":{"origin":27870,"position":3},"title":"Tools zur automatischen Erstellung von Software Bill of Materials (SBOM)","author":"Dorina Sobiecki","date":"27. February 2025","format":false,"excerpt":"Anmerkung: Dieser Blogpost wurde f\u00fcr das Modul Enterprise IT (113601a) verfasst. 1. Einleitung Die fortschreitende Digitalisierung und die zunehmende Vernetzung von Softwaresystemen haben Cybersicherheit zu einem zentralen Thema f\u00fcr Unternehmen, Beh\u00f6rden und Endnutzer gemacht. Transparenz \u00fcber die eingesetzten Softwarekomponenten ist dabei essenziell, um Sicherheitsl\u00fccken zu identifizieren und regulatorische Anforderungen zu\u2026","rel":"","context":"In &quot;Allgemein&quot;","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":22395,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2022\/02\/27\/applikationsinfrastruktur-einer-modernen-web-anwendung\/","url_meta":{"origin":27870,"position":4},"title":"Applikationsinfrastruktur einer modernen Web-Anwendung","author":"Jannik Smidt","date":"27. February 2022","format":false,"excerpt":"ein Artikel von Nicolas Wyderka, Niklas Schildhauer, Lucas Cr\u00e4mer und Jannik Smidt Projektbeschreibung In diesem Blogeintrag wird die Entwicklung der Applikation- und Infrastruktur des Studienprojekts sharetopia beschrieben. Als Teil der Vorlesung System Engineering and Management wurde besonders darauf geachtet, die Anwendung nach heutigen Best Practices zu entwickeln und dabei kosteneffizient\u2026","rel":"","context":"In &quot;Interactive Media&quot;","block_context":{"text":"Interactive Media","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/interactive-media\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2022\/02\/Bildschirmfoto_2022-02-27_um_18.59.07.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2022\/02\/Bildschirmfoto_2022-02-27_um_18.59.07.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2022\/02\/Bildschirmfoto_2022-02-27_um_18.59.07.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2022\/02\/Bildschirmfoto_2022-02-27_um_18.59.07.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2022\/02\/Bildschirmfoto_2022-02-27_um_18.59.07.png?resize=1050%2C600&ssl=1 3x"},"classes":[]},{"id":27863,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/07\/25\/vor-und-nachteile-von-open-source-ki-im-unternehmen\/","url_meta":{"origin":27870,"position":5},"title":"Vor und Nachteile von Open Source KI im Unternehmen","author":"Luca Demharter","date":"25. July 2025","format":false,"excerpt":"Anmerkung:\u00a0Dieser Blogpost wurde f\u00fcr das Modul Enterprise IT (113601a) verfasst Offene Software hat ihren Ursprung zu einer Zeit, in welcher der Austausch von Quellcode selbstverst\u00e4ndlich war. Erst Mitte der 1970er Jahre begann man, Software als geistiges Eigentum zu betrachten und rechtlich zu sch\u00fctzen. AT&T entwickelte das Unix-Betriebssystem, dessen Quellcode anfangs\u2026","rel":"","context":"In &quot;Allgemein&quot;","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/07\/image-4.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/07\/image-4.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/07\/image-4.png?resize=525%2C300&ssl=1 1.5x"},"classes":[]}],"jetpack_sharing_enabled":true,"authors":[{"term_id":1127,"user_id":1276,"is_guest":0,"slug":"pauline_wolf","display_name":"Pauline Wolf","avatar_url":"https:\/\/secure.gravatar.com\/avatar\/9e2b487341a767f41c7db370bb88a4887414623ed859d4e17506e95c7381105d?s=96&d=mm&r=g","0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/posts\/27870","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/users\/1276"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/comments?post=27870"}],"version-history":[{"count":5,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/posts\/27870\/revisions"}],"predecessor-version":[{"id":27881,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/posts\/27870\/revisions\/27881"}],"wp:attachment":[{"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/media?parent=27870"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/categories?post=27870"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/tags?post=27870"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/ppma_author?post=27870"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}