Süddeutsche Zeitung Institut Auszeichnung

Schulung Software Supply Chain Security und SBOM

Transparenz, Risikomanagement und Compliance für die Software-Lieferkette

4 Tage / S6230

Neues Seminar

Per E-Mail senden

Schulungsformen

Inhouse-/Firmenschulung

4 Tage - anpassbar
Termin nach Wunsch
In Ihrem Hause oder bei der GFU
Preis nach Angebot

Lernumgebung in der Cloud
Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.

Präsenz Online Hybrid

Unverbindlich anfragen

	Offene Schulungen	Inhouse-Schulungen	Firmen-Schulungen	Individual-Schulungen
Seminar-Eigenschaften
Teilnehmerkreis	Teilnehmer:innen aus unterschiedlichen Unternehmen	Teilnehmer:innen nur aus Ihrem Unternehmen	Teilnehmer:innen nur aus Ihrem Unternehmen	1 Teilnehmer:in aus Ihrem Unternehmen
Schulungsort	bei GFU oder online	bei Ihnen	bei GFU, online oder hybrid	bei GFU, online oder hybrid
Empfohlene Teilnehmerzahl	ab 1	ab 4	ab 4	ab 1
Abrechnung	pro Teilnehmer:in	pro Tag	pro Tag	pro Tag
Seminaragenda anpassbar	—
Lernumgebung		bei GFU inklusive, online optional buchbar	bei GFU inklusive, online optional buchbar
Flexible Termine	Terminvorschlag möglich
Seminardauer und Zeiten individuell	—
Halbtagstermine	bei vielen Seminaren verfügbar
Beratung vorab durch Trainer:in (optional)
Networking mit Teilnehmenden aus anderen Unternehmen		—	—	—
Buchung und Zahlung
3=2 Rabatt: 3. Mitarbeitende nimmt kostenfrei teil		—	—	—
Garantierte Durchführung ab 1. Teilnehmenden*
Kostenfreie Stornierung	bis zu einem Werktag vor Seminarbeginn	bis 21 Tage vor Seminarbeginn	bis 21 Tage vor Seminarbeginn	bis 21 Tage vor Seminarbeginn
Rechnungsstellung erst nach dem Seminar
Seminarplatz unverbindlich vormerken		nicht notwendig	nicht notwendig	nicht notwendig
Services
Shuttleservice zum Bahnhof / GFU-Vertragshotel Bei der GFU		—
Buchung Ihrer Übernachtung in GFU-Vertragshotels Bei der GFU		—
Kostenlose Parkplätze am Schulungszentrum Bei der GFU		—
Bewirtung im Schulungszentrum Bei der GFU				optional buchbar
Brainfood-Box mit Snacks Online		—	—	—
Technik-Sofort-Support Bei der GFU Bei Ihnen Online		—
Notebooks mieten Bei Ihnen Online	—	optional buchbar	—	optional buchbar

Beschreibung

Dieses Seminar vermittelt die Konzepte und praktischen Werkzeuge für Software Supply Chain Security mit Fokus auf Software Bill of Materials. Die Teilnehmer lernen, SBOMs zu generieren, Schwachstellen automatisiert zu identifizieren, Lizenz-Compliance sicherzustellen und Anforderungen an Lieferanten zu formulieren. Unternehmen gewinnen Transparenz über die in ihren Produkten enthaltenen Komponenten, können schneller auf neu entdeckte Schwachstellen reagieren und erfüllen zunehmende regulatorische Anforderungen an Dokumentation und Nachvollziehbarkeit in der Software-Lieferkette.

Schulungsziel

Nach Abschluss können die Teilnehmer SBOMs in gängigen Formaten generieren, in CI/CD-Pipelines integrieren und für Schwachstellen- sowie Lizenzanalyse nutzen. Sie beherrschen die relevanten Standards, können regulatorische Anforderungen einordnen und wissen, wie SBOM-basierte Prozesse in der Organisation verankert werden.

Details

Inhalt

Ziele und Erwartungen der Teilnehmenden
- Klärung individueller Lernziele und Erwartungen für ein praxisnahes und relevantes Seminar
1. Die Software-Lieferkette als Sicherheitsrisiko verstehen
- Die Komplexität moderner Softwareentwicklung einordnen, bei der Anwendungen typischerweise aus hunderten direkten und transitiven Abhängigkeiten bestehen, die wiederum eigene Abhängigkeiten mitbringen und ein weitverzweigtes Netzwerk von Komponenten bilden
- Bekannte Supply-Chain-Angriffe analysieren, darunter kompromittierte Pakete in öffentlichen Repositories, manipulierte Build-Systeme und Angriffe auf Entwickler-Infrastruktur, die verdeutlichen, wie Schwachstellen an einer Stelle der Kette weitreichende Auswirkungen haben
- Die Herausforderungen der Transparenz verstehen, bei denen Unternehmen oft nicht wissen, welche Komponenten in welchen Versionen in ihren Produkten enthalten sind und welche bekannten Schwachstellen diese aufweisen
2. Software Bill of Materials als Lösungsansatz
- Das Konzept der Software Bill of Materials kennenlernen, die als maschinenlesbare Inventarliste alle Komponenten einer Software mit Versionen, Lieferanten, Abhängigkeitsbeziehungen und weiteren Metadaten dokumentiert
- Die Mindestelemente einer SBOM nach NTIA-Vorgaben verstehen, darunter Komponentenname, Version, eindeutige Identifikatoren, Lieferanteninformationen, Abhängigkeitsbeziehungen, Zeitstempel der Erstellung und Angaben zum Ersteller
- Die verschiedenen Einsatzzwecke von SBOMs einordnen, von der Schwachstellenidentifikation über Lizenz-Compliance und Risikobewertung bei der Beschaffung bis hin zur schnellen Reaktion auf neu entdeckte Sicherheitslücken
3. SBOM-Standards im Vergleich: CycloneDX, SPDX und SWID
- CycloneDX als sicherheitsfokussierten Standard kennenlernen, der von OWASP entwickelt wurde und native Unterstützung für Schwachstelleninformationen, VEX-Dokumente und Abhängigkeitsgraphen bietet sowie als ECMA-424 ratifiziert ist
- SPDX als etablierten Standard für Lizenz-Compliance verstehen, der von der Linux Foundation entwickelt wurde, als ISO/IEC 5962 anerkannt ist und in neueren Versionen auch Sicherheitsinformationen umfassend unterstützt
- SWID Tags als Standard für Asset-Management einordnen, der als ISO/IEC 19770-2 normiert ist und primär für die präzise Identifikation installierter Software in Unternehmensumgebungen und bei Behördenanforderungen eingesetzt wird
4. Regulatorische Anforderungen und Compliance-Treiber
- Die US Executive Order 14028 und deren Auswirkungen verstehen, die SBOM-Anforderungen für Softwarelieferanten der US-Regierung eingeführt hat und als Vorbild für weitere Regulierungen weltweit dient
- Europäische Anforderungen einordnen, darunter der Cyber Resilience Act, der SBOM-ähnliche Dokumentationspflichten für Produkte mit digitalen Elementen vorsieht und ab 2027 schrittweise verbindlich wird
- Branchenspezifische Vorgaben berücksichtigen, etwa FDA-Anforderungen für Medizinprodukte, Automotive-Standards und Finanzsektor-Regulierungen, die jeweils eigene Erwartungen an Format und Umfang von SBOMs stellen
5. SBOM-Generierung in der Entwicklungspipeline
- Den optimalen Zeitpunkt der SBOM-Erstellung bestimmen, wobei die Generierung während des Build-Prozesses die genaueste Momentaufnahme liefert, da alle Abhängigkeiten in ihren exakten Versionen aufgelöst sind
- Generierungswerkzeuge für verschiedene Ökosysteme kennenlernen, darunter Syft, Trivy, CycloneDX-CLI und SPDX-Tools, die SBOMs aus Paketmanagern, Container-Images und Dateisystemen erstellen können
- Die Integration in CI/CD-Pipelines umsetzen, bei der SBOMs automatisch bei jedem Build generiert, versioniert, signiert und zusammen mit den Artefakten in Registries oder Repositories abgelegt werden
6. Schwachstellenmanagement mit SBOM-Daten
- SBOMs mit Schwachstellendatenbanken verknüpfen, indem Komponentenidentifikatoren wie Package URLs gegen CVE-Datenbanken, OSV und herstellerspezifische Advisories abgeglichen werden
- VEX-Dokumente verstehen und erstellen, die angeben, ob eine bekannte Schwachstelle in einer Komponente tatsächlich ausnutzbar ist oder durch Konfiguration, fehlende Codepfade oder andere Faktoren nicht relevant wird
- Automatisierte Workflows für Schwachstellenreaktion aufbauen, bei denen neue CVEs gegen bestehende SBOMs geprüft werden und bei Treffern automatisch Tickets erstellt, Verantwortliche benachrichtigt und Risikobewertungen aktualisiert werden
7. Lizenz-Compliance und rechtliche Aspekte
- Lizenztypen und deren Implikationen verstehen, wobei permissive Lizenzen wie MIT und Apache weniger Pflichten auferlegen als Copyleft-Lizenzen wie GPL, die Weitergabe- und Offenlegungspflichten mit sich bringen
- SBOMs für Lizenzanalyse nutzen, indem alle Komponenten und deren deklarierte Lizenzen extrahiert, auf Konflikte geprüft und gegen Unternehmensrichtlinien für zulässige Lizenzen abgeglichen werden
- Lizenz-Compliance-Prozesse etablieren, die vor der Aufnahme neuer Abhängigkeiten eine Prüfung vorsehen, bei Auslieferung die erforderlichen Hinweise und Lizenztexte beilegen und regelmäßige Audits ermöglichen
8. SBOM-Austausch, Speicherung und Lebenszyklusmanagement
- Formate und Transportmechanismen für den SBOM-Austausch kennenlernen, wobei JSON und XML die gängigsten Serialisierungen sind und Signaturen die Integrität und Herkunft sicherstellen
- SBOM-Repositories aufbauen, die eine zentrale Ablage, Versionierung und Suche ermöglichen und mit Container-Registries, Artefakt-Repositories oder spezialisierten SBOM-Plattformen integriert werden
- Den SBOM-Lebenszyklus managen, bei dem Dokumente bei jeder neuen Softwareversion aktualisiert, historische Versionen archiviert und bei Änderungen der Abhängigkeiten oder neuen Erkenntnissen angereichert werden
9. Organisatorische Verankerung und Reifegradentwicklung
- Rollen und Verantwortlichkeiten für Software Supply Chain Security definieren, wobei Entwicklung, Security, Legal und Beschaffung zusammenarbeiten und klare Zuständigkeiten für SBOM-Erstellung, -Prüfung und -Nutzung bestehen
- Anforderungen an Lieferanten formulieren, die SBOM-Bereitstellung in Beschaffungsverträgen verankern und eingehende SBOMs auf Vollständigkeit, Format und Aktualität prüfen
- Einen Reifegrad-Fahrplan entwickeln, der mit grundlegender SBOM-Generierung beginnt, über automatisierte Schwachstellenkorrelation und Lizenzprüfung fortschreitet und langfristig eine durchgängige Transparenz über die gesamte Software-Lieferkette anstrebt
Praxisübung: Eine SBOM-Workflow-Kette implementieren und analysieren
- Die Teilnehmer arbeiten mit einer bereitgestellten Beispielanwendung, die typische Open-Source-Abhängigkeiten enthält. Zunächst werden SBOMs in verschiedenen Formaten generiert, wobei CycloneDX und SPDX mit unterschiedlichen Werkzeugen erzeugt und die Ergebnisse verglichen werden. Die generierten SBOMs werden gegen Schwachstellendatenbanken geprüft, wobei gefundene CVEs dokumentiert und nach Schweregrad priorisiert werden. Für eine identifizierte Schwachstelle wird ein VEX-Statement erstellt, das die tatsächliche Relevanz im Kontext der Anwendung bewertet. Anschließend wird eine Lizenzanalyse durchgeführt, die alle verwendeten Lizenzen extrahiert und potenzielle Konflikte oder Compliance-Anforderungen identifiziert. Die Teilnehmer integrieren die SBOM-Generierung in eine CI/CD-Pipeline, sodass bei jedem Build automatisch eine signierte SBOM erstellt und abgelegt wird. Abschließend wird ein eingehendes SBOM eines fiktiven Drittanbieters auf Vollständigkeit geprüft und Verbesserungsanforderungen formuliert.

Zielgruppe & Vorkenntnisse

Das Seminar richtet sich an Fachkräfte aus Softwareentwicklung, IT-Sicherheit und Compliance, die für die Absicherung von Entwicklungsprozessen und Softwareprodukten verantwortlich sind. Angesprochen sind insbesondere Personen, die Schwachstellenmanagement, Lizenz-Compliance oder Lieferantenbewertung in ihrem Aufgabenbereich haben. Grundlegende Kenntnisse in Softwareentwicklung, Paketmanagement und Versionskontrolle werden vorausgesetzt; Erfahrung mit CI/CD-Systemen ist hilfreich.

Ihre Schulung

In Präsenz	Online
Lernmethode
Ausgewogene Mischung aus Theorie und Praxis	Wie auch bei unseren Präsenz-Seminaren: Ausgewogene Mischung aus Theorie und praktischen Übungen. Trainer durchgehend präsent.
Unterlagen
Seminarunterlagen oder Fachbuch inklusive. Das Fachbuch wählt der Trainer passend zum Seminar aus - Ihren individuellen Buch-Wunsch berücksichtigen wir auf Nachfrage gerne.	Seminarunterlagen oder Fachbuch inklusive (via DHL). Das Fachbuch wählt der Trainer passend zum Seminar aus - Ihren individuellen Buch-Wunsch berücksichtigen wir auf Nachfrage gerne.
Arbeitsplatz
PC/VMs für alle Teilnehmenden Hochwertige und performante Hardware Große, höhenverstellbare Bildschirme Zugang zu Ihrem Firmennetz erlaubt 86-90 Zoll Bildschirm für perfekte Präsentationen in jedem Schulungsraum	Online Meeting + Remote Zugriff auf persönlichen GFU-Schulungs-PC Keine Installation auf dem eigenem PC notwendig
Lernumgebung
Neu aufgesetzte Remote-Systeme für jeden Kurs in Abstimmung mit dem Seminarleiter, sodass Sie über ein perfektes Setup für die Durchführung aller praktischen Übungen verfügen.
Arbeitsmaterialien
Din A4 Block, Notizblock, Kugelschreiber, USB-Stick, Textmarker, Post-its
Teilnahmezertifikat
Nach Abschluss des Seminars erhalten Sie das Teilnahmezertifikat inkl. Inhaltsverzeichnis per E-Mail als PDF.

Organisation

In Präsenz

Online

Teilnehmendenzahl

min. 1, max. 8 Personen

Garantierte Durchführung *

Ab 1 Teilnehmenden

Schulungszeiten

4 Tage, 09:00 - 16:00 Uhr

Ort der Schulung

GFU Schulungszentrum oder Virtual Classroom

GFU Schulungszentrum
Am Grauen Stein 27
51105 Köln-Deutz

oder online im Virtual Classroom oder europaweit bei Ihnen als Inhouse-Schulung

Um ein optimales Raumklima zu gewährleisten, haben wir das Schulungszentrum mit 17 hochmodernen Trotec TAC V+ Luftreinigern ausgestattet. Diese innovative Filtertechnologie (H14 zertifiziert nach DIN EN1822) sorgt dafür, dass die Raumluft mehrfach pro Stunde umgewälzt wird und Schadstoffe zu 99.995% im HEPA-Filter abgeschieden und infektiöse Aerosole abgetötet werden.

Zusätzlich sind alle Räume mit CO2-Ampeln ausgestattet, um jederzeit eine hervorragende Luftqualität sicherzustellen.

Räumlichkeiten

Helle und modern ausgestattete Räume mit perfekter Infrastruktur

Bequem aus dem Homeoffice von überall

All-Inclusive

Frühstück, Snacks und Getränke ganztägig, Mittagessen im eigenen Restaurant, täglich 6 Menüs, auch vegetarisch

Eine Auswahl unserer Frühstücks-Snacks und Nervennahrungs-Highlights senden wir Ihnen mit den Seminarunterlagen via DHL zu.

Barrierefreiheit

Das GFU-Schulungszentrum (Am Grauen Stein 27) ist barrierefrei

Kostenfreie Services

In Präsenz	Online
Eigener Shuttle-Service Reservierte Parkplätze Hotelreservierung	Technik-Sofort-Support

Buchungsmöglichkeiten

Online oder in Präsenz teilnehmen

Sie können sowohl Online als auch in Präsenz am Seminar teilnehmen. Klicken Sie bei Ihrer Buchung oder Anfrage einfach die entsprechende Option an.

Mehr Infos

Inhouse-/Firmenschulung

Lernumgebung in der Cloud
Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.

Präsenz Online Hybrid

Unverbindlich anfragen

FAQ für Inhouse Schulungen

Was bedeutet Offene Schulung und Inhouse Schulung?

Bei einer offenen Schulung stehen Ort und Termin vorab fest. Jeder Interessent kann eine offene Schulung buchen, daher treffen Teilnehmer aus verschiedenen Unternehmen aufeinander.

Inhouse Schulungen können auf Ihren individuellen Schulungsbedarf zugeschnitten werden. Sie bestimmen den Teilnehmerkreis, Termin und Schulungsort.

Ist eine Inhouse Schulung die richtige Wahl?

Bei einer Inhouse Schulung gehen wir auf die individuellen Bedürfnisse Ihres Unternehmens ein und decken den Schulungsbedarf direkt bei Ihnen im Unternehmen ab.

Das spart Zeit und Geld und sorgt für einen schnellen Wissenstransfer Ihrer Mitarbeiter.

Wer kümmert sich um die Technik bei Inhouse Schulungen?

Eine komplette Lernumgebung in der Cloud mit Remote Zugriff ist für uns selbstverständlich. Sie müssen sich um nichts kümmern. Lediglich ein funktionierender PC oder Notebook mit Internetanschluss sollte für jeden Teilnehmer am Schulungstag bereit stehen.

Vorteile einer Inhouse Schulung

Kompetente Seminarberatung
Dozenten aus der Praxis
Auf Ihre Bedürfnisse zugeschnittener individueller Lernstoff
Sie können den Termin flexibel gestalten, so wie es für Sie am besten passt
Unsere Inhouse Schulungen können Europaweit durchgeführt werden
Der Fokus liegt auf Ihrem Schulungsbedarf, somit schonen Sie Ihr Budget
Wissenslücken Ihrer Mitarbeitet werden schnell geschlossen

Schulung Software Supply Chain Security und SBOM

Schulungsformen

Inhouse-/Firmenschulung

Beschreibung

Schulungsziel

Details

Inhalt

Zielgruppe & Vorkenntnisse

Ihre Schulung

Organisation

Kostenfreie Services

Buchungsmöglichkeiten

Online oder in Präsenz teilnehmen

So haben GFU-Kunden gestimmt

Was bedeutet Offene Schulung und Inhouse Schulung?

Ist eine Inhouse Schulung die richtige Wahl?

Wer kümmert sich um die Technik bei Inhouse Schulungen?

Vorteile einer Inhouse Schulung