Software Bill of Materials (SBOMs) gewinnen zunehmend an Bedeutung für die Nachvollziehbarkeit und Sicherheit von Softwarekomponenten, insbesondere im Zuge regulatorischer Vorgaben wie dem Cyber Resilience Act (CRA). SBOMs ermöglichen durch standardisierte Beschreibungen (z.B. im CycloneDX- oder SPDX-Format) die genaue Auflistung aller


Software Bill of Materials (SBOMs) gewinnen zunehmend an Bedeutung für die Nachvollziehbarkeit und Sicherheit von Softwarekomponenten, insbesondere im Zuge regulatorischer Vorgaben wie dem Cyber Resilience Act (CRA). SBOMs ermöglichen durch standardisierte Beschreibungen (z.B. im CycloneDX- oder SPDX-Format) die genaue Auflistung aller im System verwendeten Komponenten inklusive Version, Quelle, Konfiguration und Lizenz.

Ziel dieser Arbeit ist es, auf Basis einer gegebenen SBOM Alternativen für Softwarekomponenten automatisch zu identifizieren, und diese dann mit Hilfe von KI und LLMs automatisch integrieren. Dadurch soll ein erster Schritt in Richtung automatischer Resilienz und Austauschbarkeit von Softwarearchitekturen geschaffen werden.

Literaturanalyse

  • Analyse bestehender SBOM-Standards (CycloneDX, SPDX) und deren Datenmodelle
  • Untersuchung von Ansätzen zur Schwachstellenbewertung anhand öffentlich zugänglicher Datenquellen (z.B. NVD, CVE, OSV.dev, CVSS)
  • Analyse von Plattformen und Tools zur Komponentenverwaltung und -vergleich (z.B. Libraries.io, Deps.dev, ClearlyDefined)

Praktischer Teil

  • Entwicklung eines Tools, das aus einer gegebenen SBOM (CycloneDX/SPDX) die enthaltenen Komponenten extrahiert
  • Abfrage geeigneter Plattformen zur Identifikation potenzieller Alternativen (z.B. via Libraries.io oder deps.dev API)
  • Implementierung von Filtermechanismen zur Bewertung der Alternativen nach:
    • Sicherheitsstatus (CVE-Freiheit, CVSS-Score)
    • Lizenztyp (vergleichbare oder freizügigere Lizenzen)
    • Beliebtheit und Community-Aktivität (Downloads, Maintenance)
    • Funktionale Ähnlichkeit (z.B. Package-Kategorie, Dependency-Struktur)
  • Zusammenstellung und Visualisierung der Alternativen mit Bewertung
  • Optionale Erweiterung: Export einer neuen „empfohlenen SBOM“ auf Basis der Alternativen

Die entwickelte Lösung soll exemplarisch auf reale oder synthetische SBOMs angewendet und evaluiert werden (z.B. durch gezielte Auswahl verwundbarer Komponenten mit vorhandenen Alternativen).

Betreuer: Stefan Klikovits und Manuel Wimmer

KI-basiertes Generieren sicherer Software Alternativen