CycloneDX vs SPDX: SBOM-Formate im CRA-Vergleich

Was ist ein SBOM-Format? Zweck und Standards

Eine Software Bill of Materials (SBOM) ist eine maschinenlesbare Liste aller Softwarekomponenten eines Produkts — inklusive ihrer Versionen, Lizenzen und Abhängigkeiten. Das Format bestimmt, wie diese Liste strukturiert und kodiert wird.

Es gibt drei weit verbreitete SBOM-Standards: CycloneDX, SPDX und SWID. Der CRA und BSI TR-03183-2 erkennen CycloneDX und SPDX als konforme Formate an.

CycloneDX 1.6: Stärken für CI/CD und Security-Operations

CycloneDX wird von OWASP entwickelt und ist speziell für Security-Operations und DevSecOps-Workflows optimiert. Version 1.6 (aktuelle Empfehlung für CRA) unterstützt:

• VEX (Vulnerability Exploitability Exchange): Maschinenlesbare Aussagen darüber, ob eine CVE ein Produkt tatsächlich betrifft — entscheidend für den ENISA-SRP-Meldeprozess.
• CSAF-Integration: Native Unterstützung für CSAF-Advisories, die die ENISA SRP erwartet.
• 30+ Ökosysteme: Maven, npm, pip, Go, Cargo, NuGet, Composer und weitere — breite Tool-Unterstützung in CI/CD-Pipelines.
• Services und Infrastruktur: Dokumentation von Cloud-Services und Infrastrukturkomponenten neben Software-Dependencies.

Fazit: CycloneDX ist das bevorzugte Format für operative CRA-Compliance — insbesondere für die 24h-Meldepflicht nach Art. 14.

SPDX 3.0: Stärken für Lizenz-Compliance und Interoperabilität

SPDX (Software Package Data Exchange) ist ein ISO-Standard (ISO/IEC 5962:2021) und wurde ursprünglich für Lizenz-Compliance entwickelt. Version 3.0 erweitert den Scope erheblich:

• ISO-Standard: Breiteste behördliche und institutionelle Akzeptanz — bevorzugt bei OEM-Lieferantenverträgen und staatlichen Audits.
• Lizenz-Informationen: Detailliertere Lizenz-Darstellung als CycloneDX — ideal wenn Lizenz-Compliance im Vordergrund steht.
• Interoperabilität: Breite Unterstützung in Enterprise-Tools (Sonatype, Black Duck, FOSSA).
• Security Profile in 3.0: SPDX 3.0 führt ein Security Profile ein, das VEX-ähnliche Funktionen ergänzt — aber noch nicht so ausgereift wie CycloneDX VEX.

Fazit: SPDX eignet sich als Austauschformat für Kunden-Audits, OEM-Lieferketten und behördliche Nachweise.

SWID: Das dritte Format und wann es relevant ist

SWID (Software Identification Tags, ISO/IEC 19770-2) ist ein älterer Standard, der primär für Software-Inventarisierung und Lizenz-Management eingesetzt wird. Für den CRA-Meldeprozess ist SWID nur von untergeordneter Bedeutung:

• BSI TR-03183-2 erwähnt SWID, empfiehlt jedoch CycloneDX oder SPDX
• Keine native VEX- oder CSAF-Unterstützung
• Sinnvoll bei bestehenden SWID-Infrastrukturen als Ergänzung

BSI TR-03183-2: Welches Format empfiehlt das BSI?

BSI TR-03183-2 benennt beide Formate als konform — ohne explizite Bevorzugung. In der Praxis hat sich jedoch eine Empfehlung herauskristallisiert:

• CycloneDX 1.6+ für operative Security-Operations und ENISA-SRP-Meldungen (wegen nativer VEX/CSAF-Unterstützung)
• SPDX 3.0.1+ für Lizenz-Compliance, OEM-Lieferketten und behördliche Nachweise (wegen ISO-Status und breiter Akzeptanz)

Mehr Details zu den BSI-Anforderungen auf unserer BSI TR-03183-Seite.

Entscheidungshilfe: Wann CycloneDX, wann SPDX?

• Primär CycloneDX wenn: Sie die ENISA-SRP-Meldepflicht automatisieren wollen, Ihr Team DevSecOps-Tools nutzt, oder Sie Vulnerability-Tracking mit VEX-Statements benötigen.
• Primär SPDX wenn: OEM-Kunden SPDX verlangen, Lizenz-Audits im Vordergrund stehen, oder Sie in Branchen mit ISO-Anforderungen tätig sind.
• Beide Formate parallel (Empfehlung): CycloneDX operativ + SPDX als Austauschformat für alle Stakeholder — das ist der SBOMfunk-Ansatz.

SBOMfunk generiert beide Formate — automatisch

Mit SBOMfunk müssen Sie sich nicht entscheiden. Die SBOM-Generierung produziert in einem Durchlauf:

• CycloneDX 1.6 mit VEX-Statements und CSAF-Advisory-Vorlage für die ENISA-SRP-Meldung
• SPDX 3.0 mit vollständigen Lizenz-Informationen für Kunden-Audits und OEM-Lieferketten

Beide Formate enthalten alle BSI TR-03183-2-Pflichtfelder — ohne manuelle Nachbearbeitung.