Warum Ihre SBOM verrottet

Eine SBOM ist ein Snapshot. Sie bildet den Zustand Ihrer Software-Lieferkette zu einem bestimmten Zeitpunkt ab. Doch die Realität ändert sich täglich - und Ihre SBOM altert mit jeder Stunde, die vergeht.

Was passiert nach der Erstellung?

Am Tag der Erstellung ist eine SBOM akkurat. Danach beginnt der Verfall:

Warum ist das ein Problem?

Die EU-Gesetzgebung verlangt keine einmalige Inventarisierung. Sie verlangt einen kontinuierlichen Prozess:

Ein Auditor wird nicht fragen, ob Sie eine SBOM haben. Er wird fragen, wann sie zuletzt aktualisiert wurde und welche Änderungen seitdem eingetreten sind. Wenn Ihre Antwort "vor sechs Monaten" lautet, haben Sie ein Problem.

Wie schnell veraltet eine SBOM?

Bei einem typischen Unternehmensprodukt mit 800 Open-Source-Abhängigkeiten passiert innerhalb weniger Wochen Folgendes:

Nach wenigen Wochen beschreibt Ihre SBOM nicht mehr die Realität. Nach Monaten ist sie ein historisches Dokument.

Was bedeutet das für Sie?

Eine SBOM ist der notwendige Anfang, aber sie verrottet ohne kontinuierliche Pflege. Die Gesetze verlangen keine Bestandsaufnahme, sondern ein lebendiges Inventar. Wenn Ihre SBOM nicht regelmäßig aktualisiert, gegen aktuelle Bedrohungen abgeglichen und mit Risikobewertungen versehen wird, erfüllt sie die regulatorischen Anforderungen nicht - und sie schützt Sie auch nicht.

Weiterlesen

Sie möchten Ihre SBOM dauerhaft aktuell halten? OTTRIA übernimmt die kontinuierliche Pflege und Überwachung. Vereinbaren Sie ein Erstgespräch.