SBOMs & Komponenten
Jede Produktversion trägt eine aktive SBOM. Sie ist das Rohmaterial für alles Weitere: das Komponenteninventar, die flottenweite Schwachstellen-Korrelation sowie die Evidenz- und Dokumentationsfunktionen.
SBOM hochladen
Abschnitt betitelt „SBOM hochladen“Laden Sie an einer Produktversion eine CycloneDX-JSON- (v1.4–1.6) oder SPDX-JSON-Datei (v2.2/2.3) hoch. Das Format wird aus dem Dokument selbst erkannt — Sie wählen nie eines aus. Nicht erkennbare oder nicht parsbare Inhalte werden mit einer Fehlermeldung abgelehnt statt halb eingelesen.
Resilic liest das Dokument in Komponenten ein: Name, Version, Package-URL (PURL), CPE und Lieferant, soweit die SBOM sie liefert. Eine neue SBOM für dieselbe Version ersetzt die vorherige — es gibt genau eine aktive SBOM je Version.
SBOM beim Lieferanten anfragen
Abschnitt betitelt „SBOM beim Lieferanten anfragen“Fehlt Ihnen eine SBOM für eine Komponente oder Version, fragen Sie sie an:
- Wählen Sie an der Produktversion Beim Lieferanten anfragen und geben Sie Name und E-Mail-Adresse des Lieferanten ein.
- Resilic sendet dem Lieferanten einen tokenisierten Upload-Link per E-Mail (und zeigt ihn auch Ihnen, damit Sie ihn direkt teilen können). Der Lieferant benötigt kein Konto: Die Upload-Seite zeigt nur Ihren Organisationsnamen, das angefragte Produkt/die Version und seinen eigenen Namen — sonst nichts.
- Verfolgen Sie Anfragen je Version: wartend, eingereicht, abgelaufen oder widerrufen. Eine wartende Anfrage können Sie jederzeit widerrufen; Links sind einmal verwendbar und laufen von selbst ab.
Lädt ein Lieferant hoch, geht die SBOM nicht automatisch live. Sie prüfen sie und wählen Übernehmen & einlesen — erst dann wird sie zur aktiven SBOM der Version, mit dem Lieferanten als dokumentierter Herkunft. Bis dahin bleibt Ihre zuvor selbst hochgeladene SBOM (falls vorhanden) aktiv.
Signierte SBOMs & Manipulationsschutz
Abschnitt betitelt „Signierte SBOMs & Manipulationsschutz“Jede importierte SBOM speichert den SHA-256-Hash der hochgeladenen Datei — der
Integritätsanker, den Sie jederzeit mit dem Original vergleichen können. CycloneDX-Dokumente mit
eingebetteter Signatur (JSON Signature Format, z. B. via cyclonedx-cli sign) werden beim
Import verifiziert:
- Signiert · Schlüssel hinterlegt — Signatur gültig und passt zum Schlüssel aus der Qualifizierungsakte des Lieferanten. Die stärkste Herkunftsstufe.
- Signiert — kryptografisch gültig, aber kein hinterlegter Schlüssel als Vertrauensanker.
- Signatur ungültig — das Dokument wurde nach dem Signieren verändert oder mit einem anderen als dem hinterlegten Schlüssel signiert. Als nicht vertrauenswürdig behandeln.
Zum Hinterlegen fügen Sie den öffentlichen Schlüssel (PEM) des Lieferanten einmalig in dessen Qualifizierungsakte ein — außerhalb der Plattform ausgetauscht. Resilic verifiziert Signaturen; es signiert selbst keine SBOMs.
Die Original-SBOM herunterladen
Abschnitt betitelt „Die Original-SBOM herunterladen“Jede seit Einführung der Rohdaten-Aufbewahrung importierte SBOM lässt sich byte-identisch wieder herunterladen — eine eingebettete Lieferanten-Signatur bleibt prüfbar, und der erfasste SHA-256 passt zur erhaltenen Datei. SBOM herunterladen finden Sie neben dem Signatur-Badge in der Produktansicht. Vor der Aufbewahrung importierte SBOMs haben kein gespeichertes Original — einmal neu hochladen genügt.
Komponenten-Normalisierung
Abschnitt betitelt „Komponenten-Normalisierung“SBOMs von Industrielieferanten sind in der Praxis unordentlich: dieselbe Komponente unterschiedlich benannt, fehlende Identifikatoren, inkonsistente Versionen. Resilic normalisiert jede eingelesene Komponente auf eine kanonische Identität (kanonische PURL, validierte CPE), damit die Korrelation zuverlässig treffen kann — und dedupliziert versionsübergreifend: dasselbe OpenSSL 3.1.0 in fünf Produktversionen ist ein Registry-Eintrag.
Die Normalisierung ist standardmäßig deterministisch. Bei fehlenden oder unscharfen Identifikatoren kann ein KI-gestützter Normalisierer sie auflösen; solche Komponenten sind sichtbar als „KI-normalisiert“ gekennzeichnet und können von Ihnen korrigiert werden. Beim Einlesen wird nichts unterschrieben — die menschliche Freigabe erfolgt dort, wo sie zählt: am Artikel-14-Bericht selbst.
Was das ist — und was nicht
Abschnitt betitelt „Was das ist — und was nicht“SBOM-Pflichten sind Pflichten aus CRA Artikel 13 / Anhang I und gelten ab dem 11. Dez 2027 — sie sind nicht Teil der Artikel-14-Meldepflicht, und eine eingelesene SBOM ist keine „Artikel-13-Compliance“. In Resilic ist die SBOM das Erkennungsfundament der Artikel-14-Readiness: Sie erlaubt es, eine CVE zu einer Komponente, eine Komponente zu einer Produktversion und eine Version zu den Maschinen im Feld zurückzuverfolgen.
Namensprüfung
Abschnitt betitelt „Namensprüfung“Jede Komponente im Register wird automatisch gegen eine kuratierte Liste bekannter Paketnamen
geprüft: Ein-Buchstaben-Abweichungen, verwechselbare Zeichen (etwa l0dash) und bekannte Namen
unter einem unerwarteten Paket-Ökosystem — ein typisches Dependency-Confusion-Muster. Eine
markierte Komponente zeigt den Hinweis Namen prüfen mit einer Erklärung. Die Prüfung markiert
zur eigenen Beurteilung; sie blockiert oder verwirft nie eine Komponente, und eine Markierung ist
kein Urteil über Bösartigkeit.