Die Bedeutung von Software-Supply-Chain-Sicherheit wächst stetig, besonders im Kontext zunehmender Cyberangriffe und strengeren regulatorischen Anforderungen. Eine zentrale Rolle in diesem Bereich spielt die Software Bill of Materials, kurz SBOM, die in den letzten Jahren immer mehr an Bedeutung gewonnen hat. Die NTIA, die National Telecommunications and Information Administration der Vereinigten Staaten, hat im Jahr 2021 eine Spezifikation für minimale SBOM-Elemente veröffentlicht, um die Transparenz und Nachvollziehbarkeit von Softwarepaketen zu verbessern. Dennoch stellt die Erstellung einer NTIA-konformen SBOM in der Praxis häufig noch eine Herausforderung dar. Im Folgenden wird ein pragmatischer Leitfaden vorgestellt, wie sich mit vorhandenen Werkzeugen und passenden Arbeitsschritten eine SBOM erzeugen lässt, die den minimalen Anforderungen der NTIA entspricht, und welche Stolpersteine es dabei zu beachten gilt.
Besonders hervorgehoben wird der Einsatz moderner Tools und Technologien, die den Prozess der Erzeugung und Anreicherung von SBOMs unterstützen und beschleunigen. Die Relevanz eines solchen Leitfadens ergibt sich nicht nur aus der wachsenden Nachfrage nach sicheren Software-Lieferketten, sondern auch aus dem dringenden Bedarf vieler Unternehmen, ihre Entwicklungsprozesse und Compliance-Anforderungen effizienter zu gestalten. Der Fokus liegt hierbei auf Open-Source-Projekten im JavaScript-Umfeld, exemplarisch dargestellt anhand des Frontend-Quellcodes eines npm-Projekts, um den Workflow verständlich und praktisch nachvollziehbar zu machen. Die Verwendung von CycloneDX als bevorzugtes SBOM-Format hat sich besonders bewährt, da es eine breite Tool-Unterstützung und hohe Interoperabilität bietet. Für die initiale Generierung einer SBOM empfiehlt sich der Einsatz von Tools wie cdxgen, die ein zuverlässiges Ergebnis liefern und einfach zu nutzen sind.
Dabei ist es wichtig, das Projekt zunächst zu klonen und sämtliche Abhängigkeiten korrekt zu installieren, um eine vollständige Erfassung der Komponentenbasis sicherzustellen. Nach der Erzeugung der ersten SBOM-Datei ist die Bewertung der NTIA-Konformität ein entscheidender Schritt. Hierfür bietet sich die Verwendung spezialisierter Werkzeuge wie sbomqs an, die eine automatisierte Qualitätsbewertung unter Berücksichtigung der NTIA-Mindestanforderungen ermöglichen. In der Praxis zeigt sich häufig, dass zwar viele erforderliche Felder bereits korrekt ausgefüllt werden, jedoch insbesondere das Feld der Komponentenzulieferer („Supplier“) unzureichend abgedeckt wird. Die lückenlose Angabe des Zulieferers ist jedoch für Transparenz und Rückverfolgbarkeit essenziell, vor allem im Sicherheitskontext.
Um diesen Defiziten entgegenzuwirken, ist eine manuelle Ergänzung oder eine automatisierte Anreicherung mittels spezialisierter Tools wie parlay sinnvoll. Parlay ermöglicht dabei den Zugriff auf externe Datenquellen wie das ecosyste.ms-Repository, um Lieferanteninformationen zu extrahieren und in die SBOM zu integrieren. Allerdings sind dabei auch Lizenzrestriktionen dieser Datenquelle zu beachten, die sich durch eine CC BY-SA 4.0-Lizenz ergeben und potenziell die Weitergabe und Nutzung der erzeugten Daten einschränken können.
Für Organisationen, die flexiblere Lizenzbedingungen benötigen oder eine automatisierte Supplier-Auflösung ohne externe Einschränkungen bevorzugen, hat sich der Einsatz KI-basierter Tools etabliert. BEAR, ein auf künstlicher Intelligenz basierendes Werkzeug zur automatischen Anreicherung von BOM-Daten, arbeitet mit Modellen wie OpenAI oder Googles Gemini. Dieses Tool ist in der Lage, auf Basis der Package-URLs (purl) präzise Lieferanteninformationen zu generieren und liefert damit eine hochwertige SBOM, die den Anforderungen der NTIA vollständig entspricht. Ein großer Vorteil von BEAR besteht darin, dass es sowohl als öffentlich zugängliche Instanz als auch selbstgehostet verwendet werden kann, was eine flexible Integration in unterschiedliche Entwicklungsumgebungen ermöglicht. Zwar kann die erste Analyse je nach Umfang der SBOM etwas Zeit in Anspruch nehmen, da die Verarbeitung sequenziell erfolgt, jedoch verbessert sich die Geschwindigkeit durch ein integriertes Caching bei wiederholter Nutzung deutlich.
Der gesamte Workflow von der initialen SBOM-Generierung über die Lieferantenanreicherung bis hin zur finalen Qualitätsbewertung mit sbomqs bildet ein robustes Verfahren, um NTIA-konforme SBOMs zu produzieren. Für Softwareentwickler, Sicherheitsexperten und Compliance-Beauftragte ist dies ein praxisrelevanter Ansatz, der Transparenz erhöht und die Einhaltung regulatorischer Vorgaben erleichtert. Es ist wichtig zu verstehen, dass die Erreichung der NTIA-Mindeststandards zwar einen entscheidenden Grundstein legt, jedoch nicht sämtliche Aspekte der SBOM-Qualität abdeckt. Die weitere Validierung hinsichtlich Vollständigkeit, Genauigkeit und Aktualität bleibt ein aktives Forschungs- und Diskussionsfeld, an dem verschiedene Fachgruppen und Standards arbeiten. Dennoch stellt die Umsetzung der NTIA-Mindestanforderungen im Projektalltag eine grundlegende Basis dar, die Organisationen in Richtung sicherere und vertrauenswürdigere Softwarelieferketten führt.
Zusätzlich zu den technischen Herausforderungen ist auch die Einhaltung von Lizenzanforderungen und Datenrechten bei der Anreicherung von SBOMs ein bedeutendes Thema. Die Wahl des richtigen Werkzeugs und der Datenquelle sollte daher immer unter Berücksichtigung rechtlicher Rahmenbedingungen erfolgen, um potenzielle Risiken zu minimieren. Die vorgestellten Werkzeuge wie cdxgen, parlay, BEAR und sbomqs sind Beispiele dafür, wie moderne Technologien in Kombination mit offenen Standards wie CycloneDX und gut definierten Spezifikationen der NTIA einen effizienten und nachvollziehbaren Prozess für SBOM-Erstellung und -Qualitätssicherung ermöglichen. Projektspezifische Anpassungen sind dabei jederzeit möglich, um den individuellen Anforderungen und Gegebenheiten gerecht zu werden. Abschließend lässt sich sagen, dass die Implementierung einer praktischen und wirksamen Strategie zur Erstellung NTIA-konformer SBOMs ein wichtiger Schritt im modernen Software-Lifecycle-Management ist.
Sie trägt zu einer erhöhten Transparenz, verbessertem Risiko-Management und letztlich zu sichereren Softwareprodukten bei. Durch das Zusammenspiel von bewährten Werkzeugen und innovativen Methoden wird die Erzeugung und Pflege von SBOMs heute deutlich zugänglicher, was Unternehmen befähigt, den steigenden Compliance-Anforderungen erfolgreich zu begegnen und ihre Softwarelieferketten nachhaltig abzusichern.
