• Das EU Cyber Resilienzgesetz (CRA) wird derzeit im Ausschuss abgestimmt. Es ist wahrscheinlich, dass das CRA ein internationales Format für die Anforderungen an SBOM verwenden wird.

• Es ist wahrscheinlich, dass das CRA die „Marktüberwachungsbehörden“ ermächtigt, SBOM zu verlangen, es aber nicht wahrscheinlich ist, dass die Veröffentlichung von SBOM erforderlich ist.

• Die SBOM-Bewertung von METI ist im Gange, und eine endgültige Empfehlung wird voraussichtlich 2024 in Kraft treten.‍

• Auto-ISAC hat einen Ausschuss nur für Mitglieder zum Thema SBOM, und daher können nicht alle Informationen geteilt werden. Dennoch sind in dieser Gruppe Unternehmenswerte in Höhe von 1,5 Billionen Dollar vertreten.

• Die Arbeitsgruppe zur SBOM-Cloud-Adoption wird empfehlen, dass SaaSBOM eine „Dienstleistungsrechnung“ (von Dritten abhängige APIs und Dienstleistungen – dies ist nur mit CycloneDX möglich) enthält.

• CISA wird nach einem Weg suchen, die Einhaltung von M-22–18 (Selbstzertifizierung) mit der Einhaltung von SBOM zu kombinieren.

• In Erfolgsgeschichten teilte ein Teilnehmer mit, dass die Schulungsprogramme für ihre Vorstandsmitglieder Schulungen zu den Anforderungen an SBOM beinhalteten. Ein weiterer Teilnehmer teilte mit, dass die SBOM-Überprüfung Teil der Tagesordnung des Vorstands ihres Unternehmens ist.

• Vertreter von Medizinprodukteherstellern scheinen sich nicht sicher zu sein, wie sie Schwachstellen offenlegen können. Eine Organisation teilte mit, dass sie SBOM in „Microsoft Word“-Dokumenten sehen und daher Schwierigkeiten damit haben. Die FDA-Richtlinien stehen noch aus, während die Frist der 1. Oktober ist.

• CISA erwähnte, dass in Kürze ein paar große Ankündigungen von Anbietern anstehen und wahrscheinlich die Nutzung und Einführung von SBOM beschleunigen werden. Es handelt sich um massive öffentliche Unternehmen. Keine Einzelheiten.

Alle Folien werden voraussichtlich in den nächsten Tagen auf der Website von CISA geteilt.