{"id":27883,"date":"2025-07-25T17:01:33","date_gmt":"2025-07-25T15:01:33","guid":{"rendered":"https:\/\/blog.mi.hdm-stuttgart.de\/?p=27883"},"modified":"2025-07-25T17:05:27","modified_gmt":"2025-07-25T15:05:27","slug":"tools-zur-automatischen-erstellung-von-software-bill-of-materials-sbom-2","status":"publish","type":"post","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/07\/25\/tools-zur-automatischen-erstellung-von-software-bill-of-materials-sbom-2\/","title":{"rendered":"Tools zur automatischen Erstellung von Software Bill of Materials (SBOM)"},"content":{"rendered":"\n<p><strong>Anmerkung:<\/strong>&nbsp;Dieser Blogpost wurde w\u00e4hrend dem Sommersemester 2025 f\u00fcr das Modul Enterprise IT (113601a) verfasst.<\/p>\n\n\n\n<p>\u201e<strong><em>I cant fix what I cant see<\/em><\/strong>\u201c<br>Ohne Kenntnisse \u00fcber die benutzten Komponenten und Libraries agieren Softwareentwickler wie im Blindflug bez\u00fcglich ihrer Software-Sicherheit. Bekannte Supply Chain Angriffe wie SolarWinds oder die Log4shell L\u00fccke haben genau dies gezeigt. Wie verheerend fehlende Transparenz der Abh\u00e4ngigkeiten in Softwareprojekten sein k\u00f6nnen und wie sie Millionen Nutzer beeinflussen. Gro\u00dfe Unternehmen ben\u00f6tigen Wochen und Monate, um die betroffenen Komponenten zu identifizieren. Oftmals durch fehlender Software Bill of Materials. [1] [2] [3]<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>1. Einleitung<\/strong><\/h2>\n\n\n\n<p class=\"has-text-align-left\">Cyberangriffe auf Softwarelieferketten nehmen zu. Damit auch der Druck auf Unternehmen, sich wirksam dagegen zu sch\u00fctzen. [4] Ein zentraler Baustein dabei ist die <strong>Software Bill of Materials (SBOM)<\/strong>. Sie sorgt f\u00fcr mehr Nachvollziehbarkeit, st\u00e4rkt die Sicherheit und ist in einigen Bereichen bereits gesetzlich vorgeschrieben, etwa durch die US-amerikanische Executive Order 14028. [5] Oder in der EU durch die \u201eTechnical Guideline TR-03183: Cyber Resilience Requirements for Manufacturers and Products Part 2: Software Bill of Materials (SBOM)\u201c. [6] <\/p>\n\n\n\n<p class=\"has-text-align-left\"><br>Doch wie weit ist die Praxis tats\u00e4chlich? Welche Tools unterst\u00fctzen die automatische Erstellung von SBOMs? Und welche Herausforderungen gilt es zu bew\u00e4ltigen? Der folgende Beitrag gibt einen \u00dcberblick \u00fcber den aktuellen Stand.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>2. Was ist ein SBOM?<\/strong><\/h2>\n\n\n\n<p>Ein <em>Software Bill of Materials<\/em> (SBOM) ist eine Liste, die alle Komponenten und Abh\u00e4ngigkeiten einer Software detailliert aufzeigt. \u00c4hnlich wie eine St\u00fcckliste in der industriellen Fertigung oder eine Zutatenliste, dokumentiert ein SBOM, welche Open-Source-Bibliotheken, Frameworks und propriet\u00e4ren Module in einem Softwareprodukt enthalten sind. [11]<\/p>\n\n\n\n<p>Ziel ist es, vollst\u00e4ndige Transparenz \u00fcber die Bausteine einer Software zu schaffen, inklusive Versionsangaben, Lizenzinformationen und Bezugsquellen. Dadurch lassen sich Risiken wie Sicherheitsl\u00fccken aber auch Lizenzverst\u00f6\u00dfe schneller erkennen und gezielt beheben.<\/p>\n\n\n\n<p>Am weitesten verbreitet sind derzeit die Formate <strong>SPDX<\/strong> (entwickelt von der Linux Foundation) und <strong>CycloneDX<\/strong> (von OWASP). Beide definieren strukturierte Standards zur Beschreibung und Weitergabe dieser Informationen und erm\u00f6glichen eine effiziente Verarbeitung durch automatisierte Tools. [12] [13] [14]<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>3. Fallbeispiel SolarWinds<\/strong><\/h2>\n\n\n\n<p>Der <strong>SolarWinds-Hack (2020)<\/strong> war einer der schwerwiegendsten Supply-Chain-Angriffe der Geschichte. Dabei kompromittierten Hacker die Software-Update-Funktion von SolarWinds Orion, einer weit verbreiteten IT-\u00dcberwachungssoftware. Diese Malware Infizierung betraf die US-Regierung und ihre Beh\u00f6rden. Aber auch Unternehmen wie Microsoft oder FireEye. [7] [8]<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.1 Ablauf<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Infiltration der Build-Umgebung (2019\u20132020):<\/strong>\n<ul class=\"wp-block-list\">\n<li>Angreifer drangen in die Netzwerke von SolarWinds ein und infiltrierten die Software-Entwicklungspipeline.<\/li>\n\n\n\n<li>Sie f\u00fcgten b\u00f6sartigen Code in die Orion-Software ein (SUNBURST-Backdoor).<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Verteilung des kompromittierten Updates (M\u00e4rz\u2013Juni 2020):<\/strong>\n<ul class=\"wp-block-list\">\n<li>SolarWinds verteilte automatisch ein scheinbar legitimes Update (Orion Plattform Version 2019.4\u20132020.2.1).<\/li>\n\n\n\n<li>\u00dcber 18.000 Unternehmen luden das Update herunter, darunter US-Beh\u00f6rden (u. a. Finanzministerium, Heimatschutzministerium) und gro\u00dfe Tech-Firmen wie Microsoft.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Aktivierung der Malware (SUNBURST):<\/strong>\n<ul class=\"wp-block-list\">\n<li>Die Backdoor wartete bis zu zwei Wochen, bevor sie Kontakt mit den C2-Servern (Command-and-Control) der Angreifer aufnahm.<\/li>\n\n\n\n<li>Die Malware tarnte sich als legitimer Orion-API-Traffic, um Entdeckung zu vermeiden.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Lateral Movement &amp; Datenexfiltration:<\/strong>\n<ul class=\"wp-block-list\">\n<li>Die Angreifer nutzten die Backdoor, um sich in den Netzwerken der Opfer weiter auszubreiten.<\/li>\n\n\n\n<li>Sie stahlen sensible Daten, darunter E-Mails von US-Regierungsbeh\u00f6rden. [9]<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">3.2 M\u00f6gliche Verhinderung durch SBOM<\/h3>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><strong>Transparenz \u00fcber Komponenten:<\/strong>\n<ul class=\"wp-block-list\">\n<li>Eine SBOM h\u00e4tte gezeigt, welche Bibliotheken und Abh\u00e4ngigkeiten in der Orion-Software enthalten waren.<\/li>\n\n\n\n<li>Ungew\u00f6hnliche \u00c4nderungen (wie die SUNBURST-Backdoor) w\u00e4ren m\u00f6glicherweise fr\u00fcher aufgefallen.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Automatisierte Schwachstellenscans:<\/strong>\n<ul class=\"wp-block-list\">\n<li>Tools wie Dependency-Track h\u00e4tten verd\u00e4chtige Code\u00e4nderungen in der Build-Pipeline erkennen k\u00f6nnen.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Verifizierung von Software-Updates:<\/strong>\n<ul class=\"wp-block-list\">\n<li>Unternehmen h\u00e4tten die SBOM von SolarWinds mit fr\u00fcheren Versionen vergleichen k\u00f6nnen, um unerwartete Modifikationen zu identifizieren [10]<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>4. Relevanz f\u00fcr Unternehmen<\/strong><\/h2>\n\n\n\n<p>SBOMs bieten Unternehmen mehrere Vorteile:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Schwachstellenmanagement<\/strong>: Bei Vorf\u00e4llen wie Log4Shell oder SolaWinds kann schnell \u00fcberpr\u00fcft werden, ob verwundbare Komponenten betroffen sind.<\/li>\n\n\n\n<li><strong>Lizenzkonformit\u00e4t<\/strong>: Open-Source-Nutzung l\u00e4sst sich gezielt \u00fcberwachen und pr\u00fcfen.<\/li>\n\n\n\n<li><strong>Transparenz und Vertrauen<\/strong>: Kunden und Partner erhalten Einblick in die Herkunft von Software.<\/li>\n\n\n\n<li><strong>Compliance<\/strong>: Vorgaben wie die US Executive Order 14028 verlangen SBOMs bei \u00f6ffentlichen Auftr\u00e4gen. [15] <\/li>\n<\/ul>\n\n\n\n<p>Laut einer empirischen Studie von Xia et al. (2023) sehen 90\u202f% der Praktiker Transparenz als gr\u00f6\u00dften Vorteil von SBOMs. Gleichzeitig gaben 87\u202f% an, dass die Vorteile die Einf\u00fchrungskosten \u00fcberwiegen. [16]<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>5. Vergleich SBOM-Tools<\/strong><\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><td><strong>Tool<\/strong><\/td><td><strong>Format(e)<\/strong><\/td><td><strong>Zielumgebung<\/strong><\/td><td><strong>Besonderheiten<\/strong><\/td><\/tr><\/thead><tbody><tr><td><strong>Syft<\/strong> [17]<\/td><td>SPDX, CycloneDX<\/td><td>Container, Binaries<\/td><td>Sehr flexibel, CLI-basiert, Open Source<\/td><\/tr><tr><td><strong>Trivy<\/strong> [18]<\/td><td>SPDX<\/td><td>Container, Git Repos<\/td><td>Kombiniert SBOM mit Security Scan<\/td><\/tr><tr><td><strong>CycloneDX CLI<\/strong> [19]<\/td><td>CycloneDX<\/td><td>Java, .NET, JS<\/td><td>Offizieller Generator der OWASP Foundation<\/td><\/tr><tr><td><strong>Dependency-Track<\/strong> [20]<\/td><td>CycloneDX<\/td><td>SBOM-Management<\/td><td>Weboberfl\u00e4che zur Auswertung &amp; Verwaltung<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>6. Herausforderung und Zukunftsfragen<\/strong><\/h2>\n\n\n\n<p>Trotz wachsender Aufmerksamkeit f\u00fcr SBOMs und zahlreicher technologischer Fortschritte bestehen in der Praxis nach wie vor erhebliche H\u00fcrden, die ihre fl\u00e4chendeckende Einf\u00fchrung behindern:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Begrenzte Verbreitung in der Praxis:<\/strong> Viele Unternehmen generieren SBOMs nur punktuell oder projektbezogen. Eine durchgehende Abdeckung \u00fcber alle Systeme und Versionen hinweg ist selten anzutreffen. Besonders bei \u00e4lteren Systemen (\u201eLegacy Code\u201c) fehlt h\u00e4ufig jegliche Inventarisierung. Laut O&#8217;Donoghue et al. (2025) ist die tats\u00e4chliche Nutzung von SBOMs trotz technischer M\u00f6glichkeiten noch sehr eingeschr\u00e4nkt [21].<\/li>\n\n\n\n<li><strong>Fehlendes Vertrauen in die SBOM-Integrit\u00e4t:<\/strong> Ohne standardisierte Validierungsmechanismen besteht die Gefahr, dass SBOMs unvollst\u00e4ndig, veraltet oder gar manipuliert sind. Die fehlende Signierung und die seltene Nutzung von Mechanismen wie <em>in-toto<\/em> oder <em>cosign<\/em> verst\u00e4rken dieses Risiko. Ozkan et al. (2024) zeigen, dass viele Tools keine Integrit\u00e4tspr\u00fcfung enthalten, was ein Sicherheits- und Vertrauensproblem darstellt [22].<\/li>\n\n\n\n<li><strong>Sensibilit\u00e4t propriet\u00e4rer Komponenten:<\/strong> Unternehmen z\u00f6gern, SBOMs f\u00fcr intern entwickelte oder vertrauliche Software offenzulegen. Grund daf\u00fcr ist die Sorge vor Know-how-Abfluss, rechtlichen Risiken oder Angriffspotenzial durch \u00f6ffentlich einsehbare Abh\u00e4ngigkeitslisten. Kloeg et al. (2024) identifizieren diese Datenschutzbedenken als eine zentrale Barriere f\u00fcr die breite Akzeptanz der SBOMs[23].<\/li>\n\n\n\n<li><strong>Unzureichende Konsumierbarkeit der Daten:<\/strong> W\u00e4hrend SBOMs mittlerweile relativ einfach generiert werden k\u00f6nnen, mangelt es oft an Analyse-, Visualisierungs- oder Governance-Tools. Die Frage \u201eWas mache ich mit der SBOM?\u201c bleibt oftmals unbeantwortet. Damit bleibt auch ihr Mehrwert ungenutzt. O&#8217;Donoghue et al. (2025) betonen, dass vor allem der Mangel an Auswertungs- und Integrationsm\u00f6glichkeiten den wirtschaftlichen Nutzen limitiert [21].<\/li>\n<\/ul>\n\n\n\n<p>Diese strukturellen Barrieren zeigen: SBOMs sind technisch m\u00f6glich, aber organisatorisch noch nicht ausreichend in Unternehmen verankert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>7. Fazit<\/strong><\/h2>\n\n\n\n<p>SBOMs sind l\u00e4ngst kein Zukunftsthema mehr, sondern ein zentraler Baustein f\u00fcr Transparenz, Sicherheit und regulatorische Konformit\u00e4t in der modernen Softwareentwicklung. Sie erm\u00f6glichen Unternehmen, Risiken fr\u00fchzeitig zu erkennen, auf Sicherheitsvorf\u00e4lle gezielter zu reagieren und ihre Lieferketten nachvollziehbar zu gestalten [24].<\/p>\n\n\n\n<p>Doch die Vision einer fl\u00e4chendeckend \u201eSBOM-f\u00e4higen\u201c IT-Landschaft ist noch nicht Realit\u00e4t. Damit SBOMs ihren vollen Nutzen entfalten, braucht es:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>einheitliche Standards<\/strong> (z.\u202fB. SPDX, CycloneDX),<\/li>\n\n\n\n<li><strong>Tools<\/strong>, die sowohl Generierung als auch Auswertung abdecken,<\/li>\n\n\n\n<li><strong>Automatisierung<\/strong> entlang der DevSecOps-Pipeline,<\/li>\n\n\n\n<li>sowie eine <strong>organisatorische Verankerung<\/strong> bei Entwicklern und F\u00fchrungskr\u00e4ften [21][24].<\/li>\n<\/ul>\n\n\n\n<p>Werkzeuge wie <strong>Syft<\/strong>, <strong>Trivy<\/strong> oder <strong>Dependency-Track<\/strong> leisten bieten eine wichtige Grundlage. Doch ohne Schulungen, klare Regeln im Unternehmen und gemeinsame Vorgehensweisen in der Softwarebranche wird ihr Nutzen kaum ausgesch\u00f6pft. Der Weg zur \u201eSBOM-Reife\u201c erfordert deshalb nicht nur technische L\u00f6sungen, sondern auch ein neues Verst\u00e4ndnis f\u00fcr Software-Transparenz als unternehmensstrategische Aufgabe [23][25].<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>8. Quellenverzeichnis<\/strong><\/h2>\n\n\n\n<p>[1] IBM. (2022). <em>SolarWinds Orion CVE-2020-10148<\/em>. IBM Documentation.<br><a href=\"https:\/\/www.ibm.com\/docs\/en\/randori?topic=2022-solarwinds-orion-cve-2020-10148\">https:\/\/www.ibm.com\/docs\/en\/randori?topic=2022-solarwinds-orion-cve-2020-10148<\/a><\/p>\n\n\n\n<p>[2] NIST. (2020). <em>CVE-2020-10148 Detail<\/em>. National Vulnerability Database.<br><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-10148\">https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-10148<\/a><\/p>\n\n\n\n<p>[3] NIST. (2021). <em>CVE-2021-44228 Detail<\/em>. National Vulnerability Database.<br><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-44228\">https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-44228<\/a><\/p>\n\n\n\n<p>[4] Sonatype. (2024). <em>State of the Software Supply Chain: A 10-Year Look<\/em>.<br><a href=\"https:\/\/www.sonatype.com\/state-of-the-software-supply-chain\/2024\/10-year-look\">https:\/\/www.sonatype.com\/state-of-the-software-supply-chain\/2024\/10-year-look<\/a><\/p>\n\n\n\n<p>[5] NIST. (2021). <em>Software Supply Chain Security Guidance (Executive Order 14028)<\/em>.<br><a href=\"https:\/\/www.nist.gov\/itl\/executive-order-14028-improving-nations-cybersecurity\/software-supply-chain-security-guidance\">https:\/\/www.nist.gov\/itl\/executive-order-14028-improving-nations-cybersecurity\/software-supply-chain-security-guidance<\/a><\/p>\n\n\n\n<p>[6] BSI. (2023). <em>TR-03183: Technische Richtlinie f\u00fcr Software Supply Chain Security<\/em>.<br><a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/Technische-Richtlinien\/TR-nach-Thema-sortiert\/tr03183\/TR-03183_node.html\">https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/Technische-Richtlinien\/TR-nach-Thema-sortiert\/tr03183\/TR-03183_node.html<\/a><\/p>\n\n\n\n<p>[7] CISA. (2020). <em>Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations (AA20-352A)<\/em>.<br><a href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa20-352a\">https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa20-352a<\/a><\/p>\n\n\n\n<p>[8] SolarWinds. (2020). <em>Security Advisory: Orion Platform Vulnerabilities<\/em>.<br><a href=\"https:\/\/www.solarwinds.com\/sa-overview\/securityadvisory\">https:\/\/www.solarwinds.com\/sa-overview\/securityadvisory<\/a><\/p>\n\n\n\n<p>[9] Microsoft. (2020). <em>Analyzing Solorigate: The Compromised DLL File That Started a Sophisticated Cyberattack<\/em>.<br><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2020\/12\/18\/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect\/\">https:\/\/www.microsoft.com\/en-us\/security\/blog\/2020\/12\/18\/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect\/<\/a><\/p>\n\n\n\n<p>[10] Google Cloud. (2020). <em>Evasive Attacker Leverages SolarWinds Supply Chain Compromises with Sunburst Backdoor<\/em>.<br><a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor\">https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor<\/a><\/p>\n\n\n\n<p>[11] NTIA. (2021). <em>Software Bill of Materials: A Catalyst to a More Secure Software Supply Chain<\/em>.<br><a href=\"https:\/\/www.ntia.gov\/page\/software-bill-materials\">https:\/\/www.ntia.gov\/page\/software-bill-materials<\/a><\/p>\n\n\n\n<p>[12] SPDX. (2023). <em>SPDX Overview<\/em>.<br><a href=\"https:\/\/spdx.dev\/about\/overview\/\">https:\/\/spdx.dev\/about\/overview\/<\/a><\/p>\n\n\n\n<p>[13] CycloneDX. (2024). <em>Official Website<\/em>.<br><a href=\"https:\/\/cyclonedx.org\/\">https:\/\/cyclonedx.org\/<\/a><\/p>\n\n\n\n<p>[14] NTIA. (2021). <em>Software Bill of Materials (SBOM) Resources<\/em>.<br><a href=\"https:\/\/www.ntia.gov\/page\/software-bill-materials\">https:\/\/www.ntia.gov\/page\/software-bill-materials<\/a><\/p>\n\n\n\n<p>[15] TechTarget. (2023). <em>The Benefits and Challenges of SBOMs<\/em>.<br><a href=\"https:\/\/www.techtarget.com\/searchsecurity\/post\/The-benefits-and-challenges-of-SBOMs\">https:\/\/www.techtarget.com\/searchsecurity\/post\/The-benefits-and-challenges-of-SBOMs<\/a><\/p>\n\n\n\n<p>[16] Zhang, M. et al. (2023). <em>An Empirical Study on Software Bill of Materials: Where We Stand and the Road Ahead<\/em>. arXiv.<br><a href=\"https:\/\/arxiv.org\/abs\/2301.05362\">https:\/\/arxiv.org\/abs\/2301.05362<\/a><\/p>\n\n\n\n<p>[17] Anchore Syft. (2024). <em>GitHub Repository<\/em>.<br><a href=\"https:\/\/github.com\/lloydchang\/anchore-syft\">https:\/\/github.com\/lloydchang\/anchore-syft<\/a><\/p>\n\n\n\n<p>[18] Trivy. (2024). <em>Documentation<\/em>.<br><a href=\"https:\/\/trivy.dev\/latest\/docs\/\">https:\/\/trivy.dev\/latest\/docs\/<\/a><\/p>\n\n\n\n<p>[19] CycloneDX CLI. (2024). <em>GitHub Repository<\/em>.<br><a href=\"https:\/\/github.com\/CycloneDX\/cyclonedx-cli\">https:\/\/github.com\/CycloneDX\/cyclonedx-cli<\/a><\/p>\n\n\n\n<p>[20] Dependency-Track. (2024). <em>Official Documentation<\/em>.<br><a href=\"https:\/\/docs.dependencytrack.org\/\">https:\/\/docs.dependencytrack.org\/<\/a><\/p>\n\n\n\n<p>[21] O&#8217;Donoghue, E. et al. (2025). <em>Software Bill of Materials in Software Supply Chain Security: A Systematic Literature Review<\/em>. arXiv.<br><a href=\"https:\/\/arxiv.org\/abs\/2506.03507\">https:\/\/arxiv.org\/abs\/2506.03507<\/a><\/p>\n\n\n\n<p>[22] Ozkan, B. et al. (2024). <em>Integrity Gaps in SBOM Generation and Consumption Tools<\/em>. arXiv.<br><a href=\"https:\/\/arxiv.org\/abs\/2412.05138\">https:\/\/arxiv.org\/abs\/2412.05138<\/a><\/p>\n\n\n\n<p>[23] Kloeg, R. et al. (2024). <em>Charting the Path to SBOM Adoption<\/em>. TU Delft.<br><a href=\"https:\/\/zhauniarovich.com\/publication\/2024\/kloeg2024charting\/\">https:\/\/zhauniarovich.com\/publication\/2024\/kloeg2024charting\/<\/a><\/p>\n\n\n\n<p>[24] McKinsey &amp; Company. (2024). <em>SBOMs as a Cybersecurity Imperative<\/em>.<br><a href=\"https:\/\/www.mckinsey.com\/capabilities\/risk-and-resilience\/our-insights\/software-bill-of-materials-managing-software-cybersecurity-risks\">https:\/\/www.mckinsey.com\/capabilities\/risk-and-resilience\/our-insights\/software-bill-of-materials-managing-software-cybersecurity-risks<\/a><\/p>\n\n\n\n<p>[25] Interlynk \/ TU Delft. (2024). <em>Top 5 Challenges to SBOM Adoption<\/em>. Medium.<br><a href=\"https:\/\/medium.com\/@interlynkblog\/top-5-challenges-to-sbom-adoption-0c942113e3ea\">https:\/\/medium.com\/@interlynkblog\/top-5-challenges-to-sbom-adoption-0c942113e3ea<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Anmerkung:&nbsp;Dieser Blogpost wurde w\u00e4hrend dem Sommersemester 2025 f\u00fcr das Modul Enterprise IT (113601a) verfasst. \u201eI cant fix what I cant see\u201cOhne Kenntnisse \u00fcber die benutzten Komponenten und Libraries agieren Softwareentwickler wie im Blindflug bez\u00fcglich ihrer Software-Sicherheit. Bekannte Supply Chain Angriffe wie SolarWinds oder die Log4shell L\u00fccke haben genau dies gezeigt. Wie verheerend fehlende Transparenz der [&hellip;]<\/p>\n","protected":false},"author":1259,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[1],"tags":[1031,1088,27,940],"ppma_author":[1101],"class_list":["post-27883","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-enterprise-it","tag-sbom","tag-security","tag-security-awareness"],"aioseo_notices":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":27870,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/07\/25\/tools-zur-automatischen-erstellung-von-sboms\/","url_meta":{"origin":27883,"position":0},"title":"Tools zur automatischen Erstellung von SBOMs","author":"Pauline Wolf","date":"25. July 2025","format":false,"excerpt":"Transparenz und Sicherheit durch automatisierte Software-St\u00fccklisten Anmerkung:\u00a0Dieser Blogpost wurde w\u00e4hrend dem Sommersemester 2025 f\u00fcr das Modul Enterprise IT (113601a) verfasst. 1. Einleitung Moderne Software besteht l\u00e4ngst nicht mehr nur aus eigenem Quellcode. In nahezu jedem Projekt werden gro\u00dfe Mengen externer Bibliotheken, Frameworks und Open-Source-Komponenten genutzt. Wie auch bei physischen Lieferketten\u2026","rel":"","context":"In &quot;DevOps&quot;","block_context":{"text":"DevOps","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/scalable-systems\/devops\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":27382,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/02\/27\/tools-zur-automatischen-erstellung-von-software-bill-of-materials-sbom\/","url_meta":{"origin":27883,"position":1},"title":"Tools zur automatischen Erstellung von Software Bill of Materials (SBOM)","author":"Dorina Sobiecki","date":"27. February 2025","format":false,"excerpt":"Anmerkung: Dieser Blogpost wurde f\u00fcr das Modul Enterprise IT (113601a) verfasst. 1. Einleitung Die fortschreitende Digitalisierung und die zunehmende Vernetzung von Softwaresystemen haben Cybersicherheit zu einem zentralen Thema f\u00fcr Unternehmen, Beh\u00f6rden und Endnutzer gemacht. Transparenz \u00fcber die eingesetzten Softwarekomponenten ist dabei essenziell, um Sicherheitsl\u00fccken zu identifizieren und regulatorische Anforderungen zu\u2026","rel":"","context":"In &quot;Allgemein&quot;","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":28011,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/09\/11\/cloud-native-security-scanner\/","url_meta":{"origin":27883,"position":2},"title":"Cloud-native Security Scanner","author":"Tim Ruff","date":"11. September 2025","format":false,"excerpt":"Dieses Projekt wurde im Rahmen der Vorlesung \u201eSoftware Development for Cloud Computing\u201c umgesetzt. Ausgangslage und Projektidee Unser bisheriger Fokus im Studium lag haupts\u00e4chlich auf Themen der IT-Security und Machine Learning, weshalb wir beide bis auf die grundlegenden Vorlesungen zum Thema Software Entwicklung kaum Erfahrungen in diesem Bereich gesammelt haben. Aus\u2026","rel":"","context":"In &quot;Allgemein&quot;","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/09\/image.jpeg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/09\/image.jpeg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/09\/image.jpeg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/09\/image.jpeg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2025\/09\/image.jpeg?resize=1050%2C600&ssl=1 3x"},"classes":[]},{"id":27751,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/07\/21\/was-unternehmenssoftware-von-entwicklern-verlangt\/","url_meta":{"origin":27883,"position":3},"title":"Was Unternehmenssoftware von Entwicklern verlangt","author":"Peter Tran","date":"21. July 2025","format":false,"excerpt":"Anmerkung: Dieser Blogpost wurde f\u00fcr das Modul Enterprise IT (113601a) verfasst Einleitung Unternehmenssoftware, wie ERP oder CRM-Systeme, ist das R\u00fcckgrat moderner Organisationen. Sie \u00fcbernimmt zentrale Gesch\u00e4ftsprozesse, verarbeitet gro\u00dfe Datenmengen zuverl\u00e4ssig und muss h\u00f6chsten Anforderungen an Sicherheit, Skalierbarkeit und Wartbarkeit gerecht werden. F\u00fcr Entwickler bedeutet das: Ihre L\u00f6sungen m\u00fcssen nicht nur\u2026","rel":"","context":"In &quot;Allgemein&quot;","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":27660,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2025\/03\/20\/monolith-vs-micro-services\/","url_meta":{"origin":27883,"position":4},"title":"Monolith vs Micro Services &#8211; &#8220;Back to the future with modular monoliths&#8221;","author":"Luca-Max Baur","date":"20. March 2025","format":false,"excerpt":"In der Softwareentwicklung stehen Software- und Systemarchitekten heutzutage oft vor der Entscheidung zwischen einem monolithischen Aufbau oder Microservices. In diesem Blogpost wird erl\u00e4utert, was ein Monolith und Microservice sind und welche Vor- und Nachteilen diese mit sich bringen. Zudem wird ein Blick in die Wirtschaft gewagt, um den aktuellen Trend\u2026","rel":"","context":"In &quot;Allgemein&quot;","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":25147,"url":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2023\/07\/31\/supply-chain-cybersecurity-wie-schutzt-die-industrie-ihre-digitalen-lieferketten\/","url_meta":{"origin":27883,"position":5},"title":"Supply Chain Cybersecurity &#8211; Wie sch\u00fctzt die Industrie ihre digitalen Lieferketten?","author":"Japhet Noah Horst Manuschewski","date":"31. July 2023","format":false,"excerpt":"Lieferketten sind \u00fcber Jahrzehnte hinweg das traditionelle Modell f\u00fcr Angebot und Nachfrage. Sie reichen von der Herstellung von Rohstoffen \u00fcber die Verarbeitung und Produktion bis hin zu Verkauf und Nutzung der Endprodukte. Dieses Lieferkettensystem kann Dienstleistungen f\u00fcr Menschen, Unternehmen und Institutionen in einem relativ sicheren Rahmen erbringen. Durch die Einbindung\u2026","rel":"","context":"In &quot;Allgemein&quot;","block_context":{"text":"Allgemein","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/category\/allgemein\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/07\/supply_chain_cybersecurity_banner.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/07\/supply_chain_cybersecurity_banner.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/07\/supply_chain_cybersecurity_banner.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/07\/supply_chain_cybersecurity_banner.jpg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/07\/supply_chain_cybersecurity_banner.jpg?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/07\/supply_chain_cybersecurity_banner.jpg?resize=1400%2C800&ssl=1 4x"},"classes":[]}],"jetpack_sharing_enabled":true,"authors":[{"term_id":1101,"user_id":1259,"is_guest":0,"slug":"luca-max_baur","display_name":"Luca-Max Baur","avatar_url":"https:\/\/secure.gravatar.com\/avatar\/649f688177dd991ccb1a4fba5bcceb9416af28c09bdf580620dd416acd207b0b?s=96&d=mm&r=g","0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/posts\/27883","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/users\/1259"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/comments?post=27883"}],"version-history":[{"count":3,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/posts\/27883\/revisions"}],"predecessor-version":[{"id":27886,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/posts\/27883\/revisions\/27886"}],"wp:attachment":[{"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/media?parent=27883"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/categories?post=27883"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/tags?post=27883"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/wp-json\/wp\/v2\/ppma_author?post=27883"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}