Warum kann ich nicht wissen, ob das, was gerade ausgeführt wird, dem entspricht, was meine SBOM deklariert hat?
Opportunity
SBOMs werden zur Build-Zeit erstellt und beschreiben, was ein Build zu enthalten behauptete. Bis Software deployed und in Betrieb ist, können Abhängigkeiten gedriftet sein, statisch gelinkte Bibliotheken hinterlassen keine Laufzeitspur, und es gibt kein Standardprimitive, um zu verifizieren, dass ein laufender Prozess seiner deklarierten Stückliste entspricht. IBMs Analyse von über 35.000 SBOMs aus dem Jahr 2025 ergab, dass 7.907 direkte Abhängigkeiten nicht offenlegten, und der Implementierungsleitfaden der ENISA vom Dezember 2025 nennt Laufzeitdrift als eine der zentralen offenen Lücken. Die Lücke zwischen einer signierten SBOM und einem laufenden Container wird derzeit allein durch Vertrauen überbrückt.
Why it matters
Regulierungen in der EU und den USA schreiben SBOMs inzwischen vor, aber ohne Laufzeit-Attestierung sind sie ein Prüfartefakt, keine Sicherheitskontrolle.
Wie ich die Chance bewerte
The Opportunity Score is my own read, not a measurement: how much it hurts, how often it bites, and how little exists to solve it today. Higher means I think it is more worth building.
How much pain it causes when it shows up.
How often people actually run into it.
How little good tooling exists for it today.
Weitere lösungswürdige Probleme
Warum ist die Software, auf die wir am meisten angewiesen sind, am schlechtesten zu bedienen?
TechWarum gehören mir die Daten, die ich erzeuge, immer noch nicht?
TechWarum erhalte ich keinen Beleg, der beweist, dass meine Daten tatsächlich gelöscht wurden?
TechWarum bricht jede C2PA-Herkunftskette in dem Moment, in dem Inhalte auf soziale Medien treffen?
TechWarum hängt kritische Open-Source-Software noch immer von einem einzigen erschöpften Maintainer ab?
TechWarum gibt es keinen Wiederherstellungsweg, wenn eine Datenpanne meine biometrischen Daten preisgibt?