CII-Student Paper Series: Software Bill of Materials (SBOM) im Kontext von Cybersecurity und Compliance

Die im Rahmen der Arbeit implementierte Lösung bestätigt, dass eine automatisierte und regulatorisch anschlussfähige SBOM-Generierung im .NET-Ökosystem nach regulatorischen Vorgaben technisch realisierbar ist und die Zusammensetzung von Softwarelieferketten systematisch und nachvollziehbar dokumentiert werden kann. Gleichzeitig zeigen sich Einschränkungen hinsichtlich des Automatisierungsgrades, der Standardisierung, der Verifizierbarkeit sowie der Qualität der verfügbaren Datenquellen.
SBOMs ermöglichen erstmals eine maschinenlesbare, nachvollziehbare und reproduzierbare Abbildung der tatsächlichen Softwarezusammensetzung und stellen damit eine wesentliche Informationsgrundlage für die Identifikation von Schwachstellen und die Bewertung von Cyber-Risiken dar. Automatisierte Schwachstellenanalysen erweisen sich dabei als wirksames Instrument zur Risikoidentifikation.
SBOMs sind kein Sicherheitsmechanismus an sich, sondern die notwendige infrastrukturelle Voraussetzung für überprüfbare Cybersecurity und regulatorische Compliance – ihre tatsächliche Wirksamkeit entsteht erst durch Standardisierung, Governance und organisatorische Einbettung.



