Glossary term
SBOM
Also: Software Bill of Materials
Maschinenlesbares Inventar aller Komponenten einer Software inkl. Versionen, Lizenzen und Abhängigkeiten. Formate: SPDX, CycloneDX, SWID. Pflicht in regulierten Bereichen, in den USA durch Executive Order 14028 vorgegeben.
Zweck: Lieferketten-Transparenz. Bei einer neuen CVE (z.B. Log4Shell) muss in Minuten beantwortet werden können, welche Produkte betroffen sind. Ohne SBOM dauert das Wochen.
Formate: CycloneDX (OWASP, kompakt, weit verbreitet), SPDX (Linux Foundation, Standard für Open-Source-Lizenzen), SWID Tags (ISO/IEC 19770-2). Tools: Anchore Syft, CycloneDX CLI, Microsoft SBOM Tool.
Verbunden: VEX (Vulnerability Exploitability eXchange) ergänzt SBOM um die Aussage, ob ein gefundener CVE tatsächlich ausnutzbar ist. SBOM + VEX zusammen sind das Minimum für einen ernsthaften Schwachstellen-Management-Prozess.
Related terms
CVE
Globaler Identifier für öffentlich bekannte Sicherheits-Schwachstellen in Software und Hardware. For…
Supply Chain Risk
Risiken aus der Software- und Hardware-Lieferkette: kompromittierte Open-Source-Pakete, Build-Pipeli…
TPRM
Disziplin und Tool-Kategorie zur Steuerung von Risiken aus externen Anbietern (SaaS, Cloud, Outsourc…
SASE
Gartner-Architekturkategorie, die Netzwerk- (SD-WAN) und Security-Funktionen (SWG, CASB, ZTNA, FWaaS…
Schrems II
EuGH-Urteil vom 16. Juli 2020, das den EU-US Privacy Shield für ungueltig erklärte und Standardvertr…
SOC 2 Type 2
Prüfbericht eines US-Wirtschaftsprüfers nach AICPA-Standard SSAE 18, der die Wirksamkeit der Kontrol…
Sovereign Cloud
Cloud-Angebot, in dem nicht nur Daten, sondern auch Operations, Personal, Schlüssel und Jurisdiktion…
SSE
Subset von SASE ohne SD-WAN-Anteil. Bündelt SWG, CASB, ZTNA und (zunehmend) DLP/RBI in einer Cloud-P…