Zum Inhalt springen
SBOMfunkSBOMfunk
SBOM-Tooling

CycloneDX vs SPDX: Welches SBOM-Format ist CRA-konform?

19. April 20263 Min. LesezeitSBOMfunk-Team

CycloneDX 1.6 oder SPDX 3.0 für CRA? Vergleich der SBOM-Formate nach BSI TR-03183-2 mit Empfehlung für deutsche Hersteller und Entscheidungshilfe.

CycloneDX oder SPDX — welches SBOM-Format soll ich für den Cyber Resilience Act wählen? Beide sind CRA-konform, aber sie haben unterschiedliche Stärken. Dieser Artikel erklärt die Unterschiede und gibt eine klare Empfehlung für deutsche Hersteller.

Was ist eine SBOM — und warum schreibt der CRA sie vor?

Eine Software Bill of Materials (SBOM) ist eine maschinenlesbare Liste aller Softwarekomponenten eines Produkts — inklusive Versionen, Lizenzen und Abhängigkeiten. Sie ist das Fundament für jedes funktionierende Schwachstellenmanagement.

Der Cyber Resilience Act schreibt SBOMs aus einem einfachen Grund vor: Wer nicht weiß, welche Komponenten in seinem Produkt stecken, kann keine Schwachstellen systematisch erkennen, bewerten und melden. Die SBOM ist die Voraussetzung für die 24h-Meldepflicht nach Art. 14.

Ohne SBOM kein Vulnerability-Tracking — ohne Vulnerability-Tracking keine fristgerechte Meldung — ohne fristgerechte Meldung droht Bußgeld bis 10 Mio. EUR.

CycloneDX 1.6 im Überblick: Stärken für CRA-Compliance

CycloneDX wird von OWASP entwickelt und ist speziell für Security-Operations und DevSecOps optimiert. Version 1.6 (Stand 2024) ist die aktuelle Empfehlung für CRA-Compliance.

Stärken für den CRA-Workflow:

  • VEX-Support nativ: CycloneDX unterstützt Vulnerability Exploitability Exchange (VEX) — maschinenlesbare Aussagen darüber, ob eine CVE Ihr Produkt tatsächlich betrifft. Das ist entscheidend, um falsch-positive Meldungen zu vermeiden.
  • CSAF-Integration: CycloneDX lässt sich direkt in CSAF-Advisories umwandeln — genau das Format, das die ENISA SRP erwartet.
  • CI/CD-native: Breite Tool-Unterstützung in GitHub Actions, GitLab CI, Jenkins — SBOM-Generierung direkt im Build-Prozess.
  • 30+ Ökosysteme: Maven, npm, pip, Go, Cargo, NuGet, Composer und weitere.
  • Services und Infrastruktur: Dokumentation von Cloud-Services und Infrastrukturkomponenten neben Software-Dependencies.

Schwächen:

  • Weniger etabliert als ISO-Standard (kein ISO-Status)
  • In einigen Enterprise-Procurement-Prozessen noch nicht als Standard akzeptiert

SPDX 3.0 im Überblick: Stärken für Lizenz-Compliance

SPDX (Software Package Data Exchange) ist ein ISO-Standard (ISO/IEC 5962:2021) und wurde ursprünglich von der Linux Foundation für Lizenz-Compliance entwickelt. Version 3.0 erweitert den Scope erheblich.

Stärken:

  • ISO-Standard: Breiteste behördliche und institutionelle Akzeptanz — bevorzugt bei OEM-Lieferantenverträgen, staatlichen Audits und Enterprise-Procurement.
  • Lizenz-Details: Detailliertere Lizenz-Informationen als CycloneDX — ideal wenn Lizenz-Compliance im Vordergrund steht.
  • Interoperabilität: Breite Unterstützung in Enterprise-Tools (Sonatype, Black Duck, FOSSA, Synopsys).
  • Security Profile in 3.0: SPDX 3.0 führt ein Security Profile ein, das VEX-ähnliche Funktionen ergänzt.

Schwächen:

  • VEX-Support in SPDX 3.0 noch nicht so ausgereift wie CycloneDX VEX
  • CSAF-Integration weniger direkt als bei CycloneDX
  • Schwergewichtiger Format-Spec (ISO-Standard bedeutet auch mehr Komplexität)

BSI TR-03183-2: Welches Format empfiehlt das BSI?

Die BSI TR-03183 benennt beide Formate ausdrücklich als konform für CRA-Compliance:

  • CycloneDX 1.6+ wird für Security-Operations und ENISA-SRP-Meldungen empfohlen
  • SPDX 3.0.1+ wird für Lizenz-Compliance und OEM-Lieferketten empfohlen

Entscheidend für die Konformität sind nicht das Format selbst, sondern die Pflichtfelder: Name, Version, PURL, Lizenzen, Hashes, Supplier und Abhängigkeitstiefe müssen in beiden Formaten vollständig befüllt sein.

Praxisempfehlung: CycloneDX als primäres Format

Für die meisten deutschen CRA-pflichtigen Hersteller lautet unsere Empfehlung:

CycloneDX 1.6 als primäres operatives Format — weil:

  1. Nativer VEX-Support verhindert falsch-positive Meldungen (spart Compliance-Aufwand)
  2. CSAF-Integration passt direkt zur ENISA-SRP-Anforderung
  3. CI/CD-native — funktioniert in GitHub Actions ohne zusätzliche Konfiguration
  4. SBOMfunk-Ausgabe in CycloneDX 1.6 ist direkt ENISA-SRP-ready

Kombination: SPDX als Austauschformat für Kunden und Auditoren

Die optimale Strategie für Hersteller mit B2B-Kunden oder OEM-Lieferketten:

  • CycloneDX 1.6 für internen Vulnerability-Workflow und ENISA-Meldungen
  • SPDX 3.0 als Austauschformat für Kunden-Audits, OEM-Nachweise und Enterprise-Procurement

SBOMfunk generiert beide Formate in einem Durchlauf — Sie erhalten automatisch beide Varianten aus einer Analyse, ohne doppelte Konfiguration.

SBOMfunk generiert CycloneDX 1.6 + SPDX 3.0 automatisch aus Ihrer CI/CD-Pipeline — BSI TR-03183-2-konform ab der ersten Generierung. Beta-Zugang sichern.

#CycloneDX#SPDX#SBOM#BSI TR-03183#CRA

CRA-Compliance in 30 Minuten aufsetzen

SBOMfunk automatisiert SBOM-Generierung, Vulnerability-Tracking und ENISA-Meldung. Testen Sie 14 Tage kostenlos.

Beta-Zugang sichernCRA-Pflicht-Check
Zurück zum Blog

Verwandte Artikel

Compliance-Grundlagen

Cyber Resilience Act für KMU: Kein Weg vorbei — aber ein strukturierter

Lesen
ENISA-Reporting

ENISA Single Reporting Platform: Anleitung und aktueller API-Status (April 2026)

Lesen
Compliance-Grundlagen

CRA Meldepflicht September 2026: Was Hersteller jetzt tun müssen

Lesen