CycloneDX vs. SPDX: het juiste SBOM-formaat kiezen voor regelgeving (editie 2026)
| Interlynk
Een gids voor engineering- en complianceteams over de twee SBOM-formaten CycloneDX en SPDX: actuele versies, ISO- en ECMA-certificering, volwassenheid van de tooling, en hoe je het juiste kiest.
Voor wie is dit bestemd?
Een toezichthouder, een klant of je eigen securityteam vraagt om een software bill of materials. Voordat je een tool kiest, moet je een formaat kiezen. Twee komen in aanmerking: CycloneDX en SPDX. Vrijwel elk raamwerk dat een SBOM vereist, accepteert beide. Juist daarom ligt de keuze bij jou: ze hangt af van je tooling en van de mensen die het bestand uiteindelijk lezen.
Deze gids vergelijkt beide formaten zoals ze er in 2026 voor staan. Actuele versies, waarvoor elk oorspronkelijk is gebouwd, de certificeringsstatus, hoe volwassen de omringende tooling is, wie de standaard onderhoudt en hoe je eraan kunt bijdragen. Hij wijst geen winnaar aan. Voor de meeste gereguleerde teams zijn beide formaten werkbaar, en steeds meer organisaties produceren ze allebei. Wat volgt is de detaillering om te beslissen wat bij jouw situatie past, met de feiten van dit jaar in plaats van versienummers die twee jaar geleden klopten.
De korte versie
CycloneDX is een OWASP-flagshipproject en inmiddels een standaard van Ecma International, gericht op applicatiebeveiliging en risico's in de toeleveringsketen. SPDX is een project van de Linux Foundation en een ISO/IEC-standaard, gericht op licentienaleving en brede transparantie van de toeleveringsketen. Beide leggen dezelfde kerninventaris vast, beide dragen purl- en CPE-identificatoren, en de meeste functieverschillen die mensen zich herinneren, zijn inmiddels gedicht. Wat ze nog scheidt, zijn nadruk, governance-herkomst en de omringende tooling.
Hier de hele vergelijking in één oogopslag, vóór de details:
CycloneDX | SPDX | |
|---|---|---|
Beheerder | OWASP + Ecma TC54 | Linux Foundation (+ OMG) |
Standaard | ECMA-424 (1e & 2e editie) | ISO/IEC 5962:2021 |
Huidige versie | 1.7 (dec. 2025) | 3.0.1 (3.1 als RC) |
Oorsprong / focus | 2017, security eerst | 2010, licenties eerst |
Datamodel | Plat, componentgericht | Element-en-relatiegraaf |
VEX-ondersteuning | Native, volwassen tooling | Security-profiel, nieuwer |
Licentiedetail | Goed | Diepgaand, op bestandsniveau |
Identificatoren | purl, CPE | purl, CPE |
Bekendste afnemer | Dependency-Track, SCA-/VEX-tools | Juridische review, GitHub, OSPO |
Beschouw de rest van deze gids als de voetnoten bij die tabel.
Versies en functionaliteiten
Versies zijn hier doorslaggevend. De regelgevings- en securitymogelijkheden waarover wordt gediscussieerd, kwamen met specifieke releases. De verkeerde versie noemen is de snelste manier om op verouderde informatie te beslissen.
CycloneDX staat op 1.7, uitgebracht in oktober 2025 en in december aangenomen als ECMA-424, 2e editie. Het is de laatste release in de 1.x-reeks en blijft achterwaarts compatibel met 1.4 tot en met 1.6. In de loop van die reeks groeide CycloneDX van een puur software-SBOM-formaat naar een algemene bill-of-materials-standaard: hardware (HBOM), diensten (SaaSBOM), machine-learningmodellen (ML-BOM), cryptografie (CBOM) en formele attestaties (CDXA). Versie 1.6 bracht de Cryptographic Bill of Materials en CycloneDX Attestations. Versie 1.7 voegde citations toe voor verifieerbare herkomst, metadata over octrooien en octrooifamilies, distributiebeperkingen via Traffic Light Protocol-markeringen, en een uitgebreid cryptografieregister. Als volgende grote stap heeft het project een API-first 2.0 aangekondigd.
SPDX staat op 3.0.1, onderdeel van de 3.0-reeks van april 2024, met een lopende 3.1-releasekandidaat. SPDX 3.0 herbouwde het fundament. Het stapte over op een elementgebaseerd model, waarin pakketten, bestanden, snippets en andere elementen op zichzelf staan en via relaties worden verbonden. Dat brengt complexe systemen beter in kaart dan het documentgerichte 2.x-ontwerp. Ook werden profielen geïntroduceerd, zodat een producent alleen de delen van de standaard hoeft op te nemen die voor een gebruikssituatie relevant zijn. De profielen dekken kernconcepten, software, licenties, security, build, AI, datasets en uitbreidingsdata; de 3.1-kandidaat reikt verder, naar safety, hardware en diensten. Voor regelgevingswerk is het Security-profiel het belangrijkste, want daar kreeg SPDX de native kwetsbaarheids- en VEX-ondersteuning die de 2.x-reeks niet had.
Een nuance waar mensen over struikelen: SPDX 2.3 is nog altijd overal in gebruik, omdat veel tooling, waaronder diverse Maven- en build-systeem-plug-ins, het nog steeds uitgeeft. In de praktijk kom je 2.2.1, 2.3 en 3.0.1 tegen, en ze hebben niet dezelfde mogelijkheden. CycloneDX vertoont minder van deze spreiding, dankzij zijn toezegging tot achterwaartse compatibiliteit door de hele 1.x-reeks.
Hier het versielandschap dat je daadwerkelijk tegenkomt, en wat elk ervan betekent:
Versie | Uitgebracht | Standaardstatus | Waarom het nog telt |
|---|---|---|---|
SPDX 2.2.1 | 2021 | ISO/IEC 5962:2021 | De versie die het ISO-nummer feitelijk vastlegt |
SPDX 2.3 | 2023 | Vóór 3.0 | Wordt nog breed uitgegeven door build-tooling |
SPDX 3.0.1 | 2024 | Nieuwste; ISO-update gepland | Elementmodel + profielen, native VEX |
CycloneDX 1.6 | juni 2024 | ECMA-424, 1e editie | Introductie van CBOM en Attestations |
CycloneDX 1.7 | dec. 2025 | ECMA-424, 2e editie | Nieuwste 1.x; citations, octrooien, crypto |
Certificerings- en standaardisatiestatus
Voor een regelgevingspubliek is dit vaak het belangrijkste deel. Een formeel erkende standaard is makkelijker te verdedigen in een audit of een indiening.
SPDX was er als eerste. Het werd gepubliceerd als ISO/IEC 5962:2021 door ISO/IEC JTC 1, het gezamenlijke technische comité van de twee internationale normalisatieorganisaties. Eén detail achter die kop weegt zwaarder dan elk ander feit in deze gids:
De ISO-standaard legt SPDX 2.2.1 vast, niet de huidige specificatie. SPDX 3.0.1 en de 3.1-kandidaat worden in de openbaarheid ontwikkeld onder de Linux Foundation, met de Object Management Group in de reviewlus, en het plan is om ze als update bij de ISO in te dienen. Tot dat gebeurt, betekent "ISO/IEC 5962:2021" versie 2.2.1, niet 3.0.
CycloneDX ging in plaats daarvan via Ecma International. Versie 1.6 werd in juni 2024 geratificeerd als ECMA-424, 1e editie; versie 1.7 werd in december 2025 de 2e editie. Het werk vindt plaats in Ecma Technical Committee 54, samen met de OWASP-community, en de standaard verschijnt onder een royaltyvrij octrooibeleid. CycloneDX is daarnaast een OWASP-flagshipproject, het label dat OWASP voorbehoudt aan zijn meest volwassen en breed toegepaste werk.
Beide routes leveren een echte, erkende open standaard op. Het verschil zit in het orgaan erachter: SPDX draagt de ISO/IEC-naam waarnaar veel inkoopprocessen bij bedrijven en overheden rechtstreeks verwijzen, terwijl CycloneDX de Ecma-erkenning plus de OWASP-flagshipstatus draagt waarop securityteams vertrouwen. Wat de regelgeving zelf betreft, schrijft op dit moment geen enkele het ene formaat boven het andere voor:
Raamwerk | Formaateis | Wat het voor jou betekent |
|---|---|---|
VS (CISA / EO 14028) | Beide als acceptabel genoemd | Beide is verdedigbaar; controleer de afnemer |
EU Cyber Resilience Act | SBOM vereist, formaat vrij | Kies op basis van je tooling en klanten |
FDA (medische hulpmiddelen) | Machineleesbaar; naar beide verwezen | Bevestig de verwachte versie en codering |
De adder zit in elke rij: versie en serialisatie. Toezichthouders en hun tooling letten op welke versie en welke codering je aanlevert, en indieningen zijn al afgewezen wegens een formaat- of coderingsmismatch, ook al klopte de formaatfamilie.
Waarvoor elk formaat is gebouwd
Ga uit van wie het bestand leest. Dat bepaalt het meeste.
SPDX begon in 2010 als manier om informatie over open-sourcelicenties consistent tussen organisaties te communiceren, en die oorsprong is nog steeds merkbaar. De echte kracht is de precieze documentatie van licenties en auteursrechten op bestandsniveau – het soort bewijsketen waar juridische review, inkoop, due diligence bij fusies en overnames, en open source program offices op draaien. SPDX onderhoudt ook de SPDX License List, de standaardset identificatoren zoals MIT en Apache-2.0 die de hele branche gebruikt, CycloneDX inbegrepen. Wanneer juridisch en compliance de hoofdlezers zijn, is SPDX de natuurlijke basis.
CycloneDX begon in 2017 binnen OWASP, met security voorop. De kracht is het meedragen van securitycontext naast de inventaris: een eigen kwetsbaarhedenstructuur, native VEX, afhankelijkheidsrelaties en de bredere xBOM-familie voor cryptografie, diensten en ML-systemen. Wanneer productsecurity, kwetsbaarhedenbeheer of incident response de hoofdlezers zijn, en VEX de manier is waarop je niet-bereikbare CVE-ruis terugdringt, past CycloneDX rechtstreeks in die workflow.
De update die voor 2026 telt: de oude vuistregel "CycloneDX voor security, SPDX voor licenties" klopt nog maar half. De twee zijn op de kerninventaris naar elkaar toe gegroeid, ook al blijven hun zwaartepunten verschillen:
SPDX 3.0 voegde een Security-profiel toe met native kwetsbaarheids- en VEX-ondersteuning, en verkleinde daarmee de langdurige securityvoorsprong van CycloneDX.
CycloneDX voegde over 1.5 tot en met 1.7 rijkere licentie- en octrooimetadata toe, en verkleinde daarmee de licentievoorsprong van SPDX.
Beide reiken inmiddels ver voorbij software, tot hardware, diensten, AI/ML en cryptografische inventarissen.
De vuistregel wijst nog steeds de goede kant op, maar behandel hem niet als een harde grens.
Volwassenheid van de tooling
Een formaat is alleen zoveel waard als de tools die het lezen en schrijven, en hier wordt het beeld gemengd. Het is een belangrijke reden waarom het uitvoeren van beide formaten ingang vond.
Het genereren is nauwelijks nog doorslaggevend, omdat de meest gebruikte open-sourcegeneratoren beide native uitgeven. Het verschil zit stroomafwaarts. CycloneDX zit dieper verankerd in securitytooling: OWASP Dependency-Track is erop gebouwd, en de meeste kwetsbaarhedenbeheer- en VEX-bewuste triagesystemen lezen het zonder problemen. SPDX zit dieper verankerd in tooling voor licentienaleving: gevestigde workflows voor juridische review en open-sourcecompliance behandelen het als primair formaat, en GitHub genereert SPDX rechtstreeks uit de afhankelijkheidsgraaf van een repository.
Daarbij komt de vertraging in versieondersteuning. De ondersteuning voor SPDX 3.0 loopt nog in, omdat 3.0 een grote modelwijziging was en een groot deel van de geïnstalleerde basis nog 2.3 produceert. De 1.x-achterwaartse compatibiliteit van CycloneDX betekent dat een 1.7-producent en een 1.6-afnemer doorgaans gewoon samenwerken. Een wetenschappelijke analyse van de open-source-SBOM-toolecosystemen uit 2025 vond meetbare verschillen in hoe de twee communities met toolproblemen omgaan, met snellere gemiddelde afhandeltijden aan de CycloneDX-kant. Lees dat als een signaal over de reactiviteit van het ecosysteem, niet als een oordeel over de formaten.
De meeste volwassen teams komen op hetzelfde punt uit: produceer beide. Dubbele uitvoer is goedkoop met moderne tooling, converters werken beide kanten op, en beide produceren betekent dat niemand stroomafwaarts kan vragen om degene die je hebt overgeslagen. Eén waarschuwing wel: conversie tussen de formaten kan data verliezen. Als je beide nodig hebt, genereer dan elk uit echte build-metadata in plaats van het ene achteraf naar het andere om te zetten.
Communities en governance
Als je je jarenlang op een formaat wilt verlaten, is het geen bijzaak wie het onderhoudt en hoe. Het vertelt je hoe de standaard zal evolueren en of je mee kunt praten.
SPDX is een open-sourceproject onder de Linux Foundation, gedragen door een breed samengestelde community van software-, systeem- en toolleveranciers, naast stichtingen en integrators. Het werk is verdeeld over technische, juridische en outreach-teams, met een maandelijkse algemene call en een gepubliceerd governancemodel. Het 3.0-traject heeft die governance aangescherpt en de Object Management Group betrokken bij de review van het model en de specificatie, wat mede verklaart hoe SPDX zijn ISO-afstemming bewaakt.
CycloneDX wordt gezamenlijk beheerd door de OWASP Foundation en Technical Committee 54 van Ecma International. OWASP sloot zich aan bij Ecma International om CycloneDX een formeel internationaal onderkomen te geven zonder het open ontwikkelmodel op te geven. De specificatie wordt openlijk op GitHub ontwikkeld, de schema's zijn de officiële uitleg van de standaard, en het JSON-schema is de referentie-implementatie. Het royaltyvrije octrooibeleid hoort bij de Ecma-afspraak.
Geen van beide standaarden wordt door één bedrijf gecontroleerd, en geen van beide is een gesloten specificatie die je van een leverancier krijgt en niet kunt beïnvloeden. Voor iets waarop je je compliance baseert, is juist die onafhankelijkheid het punt.
Hoe je kunt bijdragen
Een open standaard kiezen betekent dat je niet vastzit als passieve consument. Als geen van beide formaten je regelgevingsbehoefte helemaal dekt, staat de weg naar verandering open, en de instappunten zijn concreet:
CycloneDX | SPDX | |
|---|---|---|
Thuisbasis | OWASP + Ecma TC54 | Project van de Linux Foundation |
Waar het werk gebeurt | GitHub-repositories van Ecma-TC54 en CycloneDX | SPDX-GitHub-repo's + mailinglijsten |
Hoe je bijdraagt | Issues/PR's op de specificatie, deelnemen aan de core- of domeinwerkgroep, meedoen in TC54 | Meedoen in het technische, juridische of outreach-team; de maandelijkse algemene call bijwonen |
Instappunt | cyclonedx.org | spdx.dev/participate |
Goed om te weten | Voorstellen moeten de achterwaartse compatibiliteit bewaren | Het juridische team beslist over de licentieprecisie |
Hoe dan ook kan een gereguleerde organisatie een concrete eis rechtstreeks voorleggen aan de mensen die de standaard onderhouden, in plaats van te wachten tot een leverancier besluit dat het ondersteuning waard is.
De keuze: welk SBOM-formaat kies je?
Beslis op basis van wie het bestand leest en waarom. Drie situaties dekken de meeste teams:
Begin met SPDX als je drijfveer licentienaleving, juridische bewijsketens, inkoop of een eis is die expliciet ISO/IEC 5962 noemt. Bevestig daarna welke versie er werkelijk wordt verwacht, want het ISO-nummer verwijst nog steeds naar 2.2.1, terwijl de actuele specificatie 3.0.1 is.
Begin met CycloneDX 1.7 als je drijfveer security operations, kwetsbaarhedenbeheer of VEX-gebaseerde triage is, of als je de bredere xBOM-typen nodig hebt, zoals een Cryptographic Bill of Materials voor post-quantumgereedheid.
Produceer beide als je aan meerdere gereguleerde markten verkoopt en niet kunt sturen welk formaat een bepaalde klant of instantie vraagt. Genereer elk uit echte build-data in plaats van via conversie, en versioneer elke uitvoer bewust.
Wat je ook kiest, het formaat is het duurzame deel van de beslissing. CycloneDX en SPDX zijn beide open, internationaal erkende standaarden met diverse communities waaraan je kunt bijdragen. Voor je auditors tellen de versie en serialisatie die je aanlevert, en de workflow die het bestand verwerkt, zwaarder dan het logo op het schema.
Verder lezen
Van SCA naar SBOM: een praktische migratiegids – waarom een SBOM-first-workflow een losse scanner kan vervangen, en hoe je de overstap maakt zonder dekkingsgat.
SBOM-strategie & attestatie voor OSS-projecten: best-practicesgids 2026 – een canoniek formaat kiezen, het genereren automatiseren en wat je produceert ondertekenen.
De stand van SBOM-generatie voor C/C++: editie 2026 – waarom het juist in embedded het belangrijkst is om de SBOM uit de build af te leiden in plaats van uit het manifest.
SBOM, SOUP, COTS en OTS in software voor medische hulpmiddelen – hoe formaat- en versiekeuzes uitpakken onder FDA 524B en QMSR.
Continue SBOM-monitoring – wat er gebeurt nadat je het bestand hebt gegenereerd, en waarom een statische SBOM veroudert.
Zie je SBOM goed gedaan
Interlynk automatiseert SBOM's, beheert open-sourcerisico's, monitort leveranciers en bereidt je voor op het post-quantumtijdperk – alles in één vertrouwd platform. Genereer CycloneDX of SPDX, valideer tegen de standaard die je klanten en toezichthouders verwachten, en houd elke uitvoer actueel terwijl je afhankelijkheden en de specificaties evolueren.
Vertrouwd door security- en complianceteams bij meer dan 100 gereguleerde bedrijven.
Plan een demo · Gratis starten
Bronnen en verder lezen: SPDX (spdx.dev) en ISO/IEC 5962:2021; CycloneDX (cyclonedx.org) en ECMA-424; SBOM-bronnen van CISA (cisa.gov); de FDA-richtlijn voor cybersecurity vóór markttoelating; en de projectpagina's van OWASP en de Linux Foundation voor details over meewerken.