Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

SBOMs in der Praxis

SBOMs (Software Bill of Materials) gewinnen zunehmend an Bedeutung: Als Inventar aller in einer Software verwendeten Komponenten von Drittanbietern sind sie ein wichtiger Baustein, um Supply Chain Security zu gewährleisten.

Zu Beginn des Vortrags geben wir einen Überblick über die verschiedenen SBOM-Spezifikationen und werfen einen Blick auf die Anwendungsfälle, die durch SBOMs unterstützt werden.

Im Hauptteil zeigen wir an praktischen Beispielen, wie man SBOMs für Supply Chain Security und Compliance erstellen und verarbeiten kann. Dabei gehen wir auf Good Practices für Vorgehensweisen ein und zeigen Open-Source-Werkzeuge, die sich bei der Arbeit mit SBOMs als nützlich erwiesen haben.

Vorkenntnisse

Hilfreich sind grundlegende Kenntnisse, wie Softwareentwicklung funktioniert. Daneben sollten Sie ein Interesse daran haben, welche Herausforderungen an Security und Compliance sich durch die Einbindung von anderen Komponenten ergeben.

Lernziele

  • Warum macht es Sinn, sich mit SBOMs zu beschäftigen?
  • Bei welchen rechtlichen Anforderungen helfen SBOMs?
  • Welche Inhalte muss ein SBOM mindestens, welche Inhalte sollte er idealerweise enthalten?
  • Welche Herausforderungen ergeben sich, wenn man SBOMs erstellt bzw. verarbeitet?
  • Wie kann die Erstellung von SBOMs konkret in eine CI/CD-Pipeline eingebunden werden?
  • Mit welchen Tools bekomme ich die gewünschten Informationen aus einem SBOM?

Speaker

 

Stefan Fleckenstein
Stefan Fleckenstein gründete nach vielen Jahren in der Softwareentwicklung den Bereich Cybersecurity bei MaibornWolff. Ihm liegen das Schwachstellenmanagement und die Entwicklung von Open-Source-Software besonders am Herzen. Neben seiner aktiven Mitgliedschaft in der SBOM- und VEX-Community ist er Schöpfer und Betreuer von SecObserser, einem Open-Source-System zum Schwachstellenmanagement.

Laura Höll
Laura Höll ist Security Engineer bei MaibornWolff. Ihr Schwerpunkt ist die Entwicklung von Webapplikationen sowie Konzeption und Umsetzung von Infrastruktur in der Cloud. Weiterhin berät sie Kunden zu der Umsetzung von IAM- und BCM-Projekten. In ihrem letzten Projekt hat sie einen Automobil-Hersteller bei der Einführung von SBOMs für Supply Chain Security und Compliance unterstützt.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden