TL;DR: Wer hat schon einen SBOM erzeugt? Und wie?
Sherlock
Ich verwalte schon seit einigen Jahren die benutzten Software-Komponenten, erfasse dabei Name, Version, Hersteller, Kaufdatum, Lizenzdauer, Lizenzdaten, usw. Zunächst habe ich das in einer einfachen Datenbank gemacht, seit PPME Version 5 mache ich es dort.
Unter "Komponenten" werden alle überhaupt vorhandenen Komponenten erfasst. Zu jedem Projekt kann man dann die dort benutzten Komponenten erfassen (siehe anliegenden Screenshot) und dann z.B. die verwendete Komponentenliste des Projekts im Rahmen des Projekt-Ausdrucks (auch oder nur) drucken lassen.
Aktuell sieht der Entwurf des EU-Rates noch kein bestimmtes Format für die SBOM vor, die Kommission wird aber ermächtigt per sogenannten Implementing Act hierfür ein konkretes Format vorzugeben. Solange das nicht geschehen ist, steht es Dir relativ frei in welcher Form und in welchem Format (Text-Datei, PDF, usw.) Du die Infos zur Verfügung stellst.
Inzwischen gibt es eine sog. Rats-Fassung der "Allgemeinen Ausrichtung", mit der dann voraussichtlich im September das TRILOG-Verfahren starten wird (Verhandlungen zwischen Rat, KOM und EU-Parlament), um eine abschließende Fassung zu finden.
Es ist gar nicht so unwahrscheinlich, dass der CRA dann noch bis Ende des Jahres in Kraft tritt, wobei die Verpflichtungen erst in 3 Jahren von den Herstellern umgesetzt werden müssen.
Auf dieser Seite gibt es die Infos zusammengefasst und auch ein Download-Link zur aktuellen Fassung des Entwurfs:
https://www.consilium.europa.eu/de/p...ital-products/
Leider hat die dort Downloadbare PDF-Datei nur ein rudimentäres Verzeichnis an Lesezeichen (6 Stück). Ich habe der Datei daher ein ausführliches beigefügt (natürlich nicht per Hand, sondern automatisiert), liegt auch diesem Post gezippt anbei. So kann man viel besser navigieren. Die wesentlichen Anforderungen an uns Softwarehersteller finden sich in Anhang 1 und Anhang 2 des Entwurfs.