Open-Source-Abhängigkeiten beschleunigen die Entwicklung, bringen aber auch Risiken mit sich. Beliebte Sprachen wie JavaScript und Python bieten zusammen über eine Million Pakete.
So kommt ihr schneller vom Konzept zum Produkt.
Jede externe Abhängigkeit erhöht die Angriffsfläche. Sicherheitslücken stecken oft in Drittanbieter-Komponenten. Bei zahlreichen Abhängigkeiten wird es schnell schwierig, verschiedene Versionen und deren Nutzung zu verfolgen.
Eine Software Bill of Materials (SBOM) schafft hier Klarheit. Sie listet alle Bestandteile eurer Software –auch Paketnamen und Versionen. So prüft ihr effizient Schwachstellen und Lizenzthemen – intern wie extern.
Catch code risks before you deploy
Learn how Wiz Code scans IaC, containers, and pipelines to stop misconfigurations and vulnerabilities before they hit your cloud.
SBOM im Überblick
Eine SBOM ist eine maschinen- und menschenlesbare Übersicht eures gesamten Software-Inventars. Sie erfasst alle Drittanbieter-Abhängigkeiten, die Sie beim Erstellen Ihrer Anwendungen verwenden. Sie liefert wichtige Informationen wie Namen, Versionsnummern, Veröffentlichungsdaten, Prüfsummen, Lizenzen und Details zu jeder Komponente in Eurer Anwendung.
Vorteile einer SBOM
SBOMs geben Engineering-Teams ein aktuelles Inventar aller Komponenten. So bewertet ihr Auswirkungen von Code- oder Lizenzänderungen schneller und erkennt Risiken frühzeitig – von Common Weakness Enumerations (CWE) vor dem Release bis zu bekannten Sicherheitslücken (CVE) nach der Veröffentlichung.
Auch operativ bringen SBOMs Vorteile:
Besseres Asset-Management
Transparenz über Lizenzen
Unterstützung bei ComplianceWhat
Schnelle Identifikation von Supply-Chain-Risiken
SBOMs sind zudem oft verpflichtend. Die Executive Order zur Verbesserung der Cybersicherheit der USA verlangt etwa für Unternehmen, die mit der US-Regierung zusammenarbeiten.
The State of Code Security Report [2025]
A Software Bill of Materials (SBOM) strengthens security, but many supply chains remain vulnerable due to repository misconfigurations. The State of Code Security Report 2025 found that malicious NPM and PyPI packages continue to pose serious risks.
Download report
Funktionsweise von SBOM-Tools
SBOM-Tools entdecken und katalogisieren automatisch Software-Komponenten. Viele Software-Composition-Analysis-Tools (SCA) enthalten SBOM-Generatoren, die eure Codebasis scannen und umfassende Inventare erstellen.
Manifest-Scanning prüft Manifest-Dateien (z. B. package.json oder Cargo.toml) auf die aufgelisteten Abhängigkeiten.
Binary-Scanning untersucht kompilierte Binärdateien auf Drittanbieter-Code, der sich einer bestimmten Bibliothek zuordnen lässt.
Hybrid-Scanning kombiniert Manifest- und Binary-Scanning, damit keine Abhängigkeit übersehen wird.
SBOMs gibt es in verschiedenen Formaten. Sie ermöglichen sowohl automatische Analysen als auch manuelle Prüfungen. Beliebte SBOM-Formate sind:
SPDX von der Linux Foundation mit Fokus auf Software-Lizenzen.
CycloneDX von OWASP mit Fokus auf Sicherheitslücken.
SWID von NIST ist ein allgemeiner Standard.
Die Agentless-SBOM von Wiz bietet Euch vollständige Transparenz über alle Komponenten Eurer Anwendungen – einschließlich Pakete, Open-Source-Bibliotheken und verschachtelten Abhängigkeiten – ohne blinde Flecken und ohne einen Agenten zu installieren.
Auswahlkriterien für SBOM-Tools
Worauf ihr achten solltet:
Formate: Unterstützung für SPDX und CycloneDX
Sprachen & Umgebungen: Passend zu eurem Stack
Integration: CI/CD-Pipeline und Build-Prozesse
Analysetiefe: Manifest + Binary
Automatisierung: Kein manueller Aufwand
Community und Wartung: aktive Weiterentwicklung
Wählt ein Tool, das sich nahtlos in euren Workflow einfügt.
Open-Source-SBOM-Tools
Nachdem wir erklärt haben, was SBOMs sind, schauen wir uns jetzt die Tools an:
Universelle Tools:
Sprachspezifische Tools:
Open-Source-SBOM-Tools im Überblick
Zunächst schauen wir uns die Tools an, die nicht auf eine bestimmte Programmiersprache beschränkt sind:
1. Syft
Syft ist ein CLI-Tool zur Generierung von SBOMs aus Container-Images und Dateisystemen. Es unterstützt Container-Formate wie OCI, Docker und Singularity und erkennt die verwendete Linux-Distribution. Syft unterstützt außerdem SPDX und CycloneDX.
2. The SBOM Tool
The SBOM Tool ist ein Open-Source-Generator von Microsoft für große Projekte. Es erzeugt SBOMs während des Builds. Es verwendet dabei Microsofts eigene Komponenten-Erkennungsbibliothek, die verschiedene Paket-Manager unterstützt (NuGet, Go, npm, pip und Cargo).
3. Tern
Tern ist ein SCA-Tool mit Fokus auf Lizenzanalyse in Container-Images. Es konzentriert sich auf das Sammeln von Lizenzinformationen. Es unterstützt mehrere Ausgabeformate, darunter SPDX, CycloneDX sowie Formate wie HTML oder YAML.
4. CycloneDX Generator
Der CycloneDX Generator (cdxgen) ist das offizielle SBOM-Tool von OWASP. Es unterstützt viele Programmiersprachen, darunter C/C++, JavaScript, Java, Python und Haskell, und bietet außerdem ein CLI, das lokal oder als Teil einer CI/CD-Pipeline scannen kann, sowie einen API-Server mit einem /bom-Endpoint zum Abrufen der SBOM auf Anfrage.
5. SPDX SBOM Generator
Der SPDX SBOM Generator ist ein mehrsprachiges Tool, das verschiedene Paket-Manager wie pip, Cargo, npm, Go, Composer, RubyGems unterstützt. Gute Wahl für SPDX-basierte Workflows.
6. DISTRO2SBOM
DISTRO2SBOM ist ein SBOM-Generator. Er analysiert Linux-Systeme auf installierte Pakete.
See the Wiz CLI in action - SBOMs and more
Generate SBOMs, secure every commit, block risky builds, and validate container images with Wiz CLI
See CLI
Die besten SBOM-Tools für verschiedene Sprachen
Kommen wir jetzt zu beliebten SBOM-Tools, die sich auf eine bestimmte Programmiersprache spezialisiert haben:
7. Retire.js
Retire.js ist ein JavaScript-Scanner mit SBOM-Funktion. Auch als Browser-Erweiterung verfügbar. Er generiert SBOMs im CycloneDX-Format.
8. bom
bom ist Teil des Kubernetes-Projekts für Go-Abhängigkeiten in k8s-Cluster-Definitionen. bom generiert SPDX-Dateien und identifiziert über 400 Lizenzen.
9. Jake
Jake ist ein CLI-Tool, das Python-Umgebungen auf Schwachstellen prüft und SBOMs im CycloneDX-Format generiert. Jake verwendet den Sonatype-Server (sowohl die kommerzielle als auch die Open-Source-Version).
10. rebar3_sbom
rebar3_sbom ist ein SBOM-Generator für Erlang. Diese Lösung nutzt das Erlang-Build-Tool (Rebar), um SBOMs im CycloneDX-Format zu generieren.
11. sbom-rs
sbom-rs ist ein Toolset für Rust mit integriertem Schwachstellenscanner, der auf der Open Source Vulnerabilities (OSV)-Datenbank basiert.
What is SBOM scanning?
An SBOM contains an inventory of all software components, libraries, dependencies, versions, licenses, and relationships.
Mehr lesenSo setzt Wiz SBOMs um
Wiz macht SBOMs kontinuierlich nutzbar und skalierbar – ohne Agents:
Agentless von Grund auf: Kontinuierliches Inventar ohne Deployment-Aufwand. SBOMs bleiben aktuell, wenn sich eure Umgebung ändert.
Standardbasiert und portabel: Exportiert CycloneDX oder SPDX mit Paket-, OS- und transitiven Abhängigkeitsdetails.
Skalierbar im Betrieb: Plant SBOM-Reports über alle Ressourcen hinweg, exportiert in Cloud-Speicher (z. B. Amazon S3) oder ruft sie per API ab.
Code-to-Cloud-Kontext: Korreliert SBOMs mit Schwachstellen, Lizenzen und offengelegten Secrets, um zu priorisieren, was für Euer Unternehmen wirklich zählt.
In den Delivery-Prozess integriert: Generiert SBOMs beim Build, scannt Images in Registries und verfolgt Drift durch SBOM-Vergleiche über Releases hinweg.
Compliance-fähig: Erstellt EO 14028 und Software-Supply-Chain-Reviews.
Bucht eine Demo, um zu sehen, wie Wiz die SBOM-Generierung End-to-End mit unserer Agentless-SBOM-Fähigkeit vereinfacht.
Catch code risks before you deploy
Learn how Wiz Code scans IaC, containers, and pipelines to stop misconfigurations and vulnerabilities before they hit your cloud.
Weitere Tool-Übersichten