Software Composition Analysis ist eine wichtige Sicherheitsmaßnahme in der Softwareentwicklung. Sie identifiziert und analysiert Open-Source- und Drittanbieterkomponenten in der Codebasis. So lassen sich Sicherheitslücken oder Schwachstellen finden, Lieferkettenangriffe verhindern und Lizenzbedingungen klären.
Eine Software Composition Analysis ist eine wichtige Sicherheitsmaßnahme in der Softwareentwicklung die auf die Analyse der Zusammensetzung der Codebasis setzt.
Ins Deutsche übersetzt bedeutet Software Composition Analysis Software-Zusammensetzungs- oder Software-Kompositionsanalyse. Das Akronym ist SCA. Bei SCA handelt es sich um einen Sicherheitsansatz und eine gängige Praxis in der Softwareentwicklung. Mithilfe der Software Composition Analysis lassen sich Open-Source- und Drittanbieterkomponenten in der Codebasis von Softwareanwendungen identifizieren und analysieren. SCA findet beispielsweise Open-Source-Bibliotheken, die für die Realisierung bestimmter Funktionalitäten in die Codebasis eingebunden wurden. Durch eine umfassende Analyse der gefundenen Open-Source- und Drittanbieterkomponenten können Sicherheitslücken oder Schwachstellen aufgespürt und beseitigt werden. Lizenz- oder Compliance-Probleme lassen sich mit SCA ebenfalls identifizieren und beseitigen. Software Composition Analysis sichert Software-Lieferketten ab und optimiert die Sicherheit und Integrität der Softwareanwendungen. Durch die zunehmende Abhängigkeit moderner Software von Open-Source- und Drittanbieterkomponenten hat die Bedeutung von Software Composition Analysis in den letzten Jahren stark an Bedeutung gewonnen. Zur Durchführung der Software-Zusammensetzungsanalyse kommen unterstützende Software-Lösungen und Tools zum Einsatz, mit deren Hilfe sich der SCA-Prozess zu einem Großteil automatisieren lässt.
Um Softwareentwicklungsaufwände zu reduzieren, Entwicklungszeiten zu verkürzen und Anwendungen schneller auf den Markt zu bringen, ist es heute gängige Praxis, bestimmte Funktionen und Programmkomponenten mithilfe von externen Codebestandteilen zu realisieren. So müssen nicht alle Programmbestandteile neu entwickelt und programmiert werden, sondern es lassen sich bereits fertige Programmcodes oder Programmmodule einbauen und wiederverwenden. Beispielsweise werden häufig Open-Source-Komponenten in Form von Bibliotheken (Libraries) in die Codebasis einer Anwendung integriert. Durch diese Integration entstehen aber auch neue Abhängigkeiten von externen Codequellen und Drittanbietern. Einbau und die Verwendung von externem Code sind daher mit Sicherheitsrisiken verbunden. Es können Programmierfehler, Schwachstellen oder Sicherheitslücken im externen Programmcode vorhanden sein, die durch den Einbau in die eigenen Softwareanwendungen importiert werden. Zudem kann es zur Verletzung von Lizenzbedingungen oder Compliance-Anforderungen kommen.
Nur auf die Qualität des externen Programmcodes und die Zuverlässigkeit und Vertrauenswürdigkeit der Drittanbieter und der externen Entwickler zu vertrauen, ist hochriskant. Denn häufig versuchen bösartige Akteure über die Bereitstellung von externem Code, schädliche Programmbestandteile unbemerkt in fremde Softwareanwendungen einzuschleusen und diese für kriminelle Zwecke auszunutzen. Solche Angriffe werden auch als (Software-)Lieferkettenangriffe bezeichnet und stellen eine zunehmende Bedrohung dar. In der Vergangenheit ist es bereits mehrfach gelungen, Bibliotheken mit bösartigem Code zu entwickeln und bereitzustellen, die unwissend in eine Vielzahl von Softwareanwendungen integriert wurden.
Eine manuelle Verwaltung externer Codebestandteile und ihrer Abhängigkeiten ist bei komplexen Anwendungen kaum zu leisten. Es sind automatisierte Verfahren notwendig, die die Zusammensetzung der kompletten Codebasis automatisiert untersuchen, Fremdbestandteile identifizieren und nach verschiedenen Aspekten wie Sicherheit, Lizenzbedingungen und Abhängigkeiten analysieren. Genau diese Funktionen bietet die Software Composition Analysis. Mithilfe von SCA lassen sich die Sicherheit, Qualität und Konformität der Software und ihren externen Codebestandteilen prüfen und sicherstellen.
Prinzipielle Funktionsweise der Software-Kompositionsanalyse
Die Software-Kompositionsanalyse erfolgt in verschiedenen aufeinanderfolgenden Prozessschritten. Die grundlegenden Prozessschritte sind:
scannen des Software-Source-Codes und aller zugehörigen Bestandteile, die zur Kompilierung der Anwendung verwendet werden
identifizieren von externen Codebestandteilen wie Open-Source-Libraries und Ermitteln der Quellen und Versionen der Fremdkomponenten
dokumentieren aller ermittelten Informationen zum Beispiel in einer Datenbank oder einer Software Bill of Materials (SBOM)
abgleichen der ermittelten Informationen beziehungsweise der SBOM mit anderen Quellen und Datenbanken, die Informationen über bekannte Schwachstellen oder einzuhaltende Lizenzbedingungen des Fremdcodes enthalten, zum Beispiel Schwachstellendatenbanken oder Common Vulnerabilities and Exposures (CVEs)
erstellen eines Berichts mit allen gefundenen Schwachstellen, Problemen, einzuhaltenden Lizenzbedingungen und weiteren für die Verwendung der Fremdcodebestandteile relevanten Informationen
Üblicherweise liefert eine Software Composition Analysis eine sogenannte Software Bill of Materials (SBOM). Eine SBOM ist eine Inventarliste einer Softwareanwendung, die sämtliche verwendeten Komponenten wie Pakete oder Open-Source-Bibliotheken inklusive ihren Abhängigkeiten und Versions- und Lizenzinformationen enthält. Das letztendliche Ergebnis einer Software Composition Analysis kann in verschiedenen digitalen Formaten bereitgestellt werden. Es kann sich beispielsweise um einen Bericht mit konkreten Handlungsanweisungen oder Empfehlungen handeln, welche Schwachstellen enthalten sind und wie sie behoben oder wie Workarounds erstellt werden können. Unter Umständen erfolgt bei erkannten Problemen oder Schwachstellen eine automatische Alarmierung des für die Anwendungssicherheit verantwortlichen Personals.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Typische Anwendungsbereiche der Software Composition Analysis
Die Hauptanwendungsbereiche der Software Composition Analysis sind das Sicherheits- und Schwachstellenmanagement, Lizenzmanagement, Abhängigkeitsmanagement, Qualitätssicherung, Absicherung von Software-Lieferketten, Erfüllung von Compliance-Richtlinien und gesetzlichen Vorgaben und die Implementierung von CI/CD-Pipelines.
Aufgrund der heutzutage großen Anzahl üblicherweise in Softwareprodukten verwendeten Open-Source- und Drittanbieterkomponenten ist Software Composition Analysis ein unverzichtbarer Bestandteil der Softwareentwicklung und der Bereitstellung sicherer, fehlerfreier Anwendungen geworden. Ein weiterer wichtiger SCA-Anwendungsbereich ist das Lizenzmanagement. Mit SCA lässt sich sicherstellen, dass die Bedingungen der vielen unterschiedlichen Open-Source-Lizenzen oder proprietären Lizenzen eingehalten werden. SCA minimiert das Risiko von Lizenzverletzungen und Lizenzkonflikten. Die Software-Kompositionsanalyse trägt zudem dazu bei, die Qualität von Softwareprodukten zu sichern. Es lassen sich Probleme und Abhängigkeiten erkennen, die die Qualität, Performance und Wartbarkeit der Software negativ beeinflussen. Bei Softwareprodukten bestimmter Branchen unterstützt SCA die Erfüllung von Compliance-Richtlinien und gesetzlichen Vorgaben. Software Composition Analysis ist häufig direkt in CI/CD-Pipelines (Continuous Integration/Continuous Deployment) integriert. Das ermöglicht die fortlaufende Überwachung und Analyse der Fremdbestandteile einer Codebasis während des gesamten Softwareentwicklungsprozesses.
Zur Unterstützung des Prozesses der Software-Kompositionsanalyse kommen SCA-Tools zum Einsatz. Sie automatisieren die Scan- und Analyseprozesse, gleichen die gewonnenen Informationen automatisch mit Lizenzanforderungen und externen Quellen wie Schwachstellendatenbanken ab und liefern Berichte mit den identifizierten Sicherheitslücken oder etwaigen Lizenzproblemen inklusive Empfehlungen zu deren Behebung. Moderne SCA-Software ist darüber hinaus in der Lage, automatische Bereinigungen gefundener Schwachstellen durchzuführen und Komponenten von Drittanbietern proaktiv zu verwalten. Je nach Tool werden unterschiedlich viele Programmiersprachen und Frameworks unterstützt. Einige SCA-Tools können neben dem Quellcode auch Binärdateien der zu prüfenden Anwendungen scannen und analysieren. SCA-Software lässt sich oft nahtlos in Entwicklungs-Workflows und CI/CD-Pipelines integrieren. Beispiele für SCA-Tools mit teils recht unterschiedlichem Funktionsumfang sind sind Black Duck von Synopsys, Veracode , Xygeni, Snyk, JFrog Xray, Checkmarx, Semgrep oder FOSSA.
Herausforderungen der Software Composition Analysis
Die Software Composition Analysis ist auch mit einigen Herausforderungen verbunden. Zu diesen zählen:
Die Implementierung einer kontinuierlichen und umfassenden Software-Kompositionsanalyse in die vorhandenen Workflows kann aufwendig und komplex sein.
Komplexe Software-Applikationen mit vielen Abhängigkeiten und Fremdkomponenten erfordern aufwendige und langwierige Analysen.
Proprietäre Abhängigkeiten werden unter Umständen nicht erfasst oder erkannt.
Es ist eine enge Zusammenarbeit zwischen Entwicklungs- und Sicherheitsteams erforderlich.
Es kann mit den vielen Warnhinweisen, identifizierten Problemen, Abhängigkeiten oder False-Positive-Meldungen zu einer Überforderung der Entwicklungs- und Sicherheitsteams kommen (Alarm Fatigue).
Eine fehlerfreie Software-Kompositionsanalyse bietet keine hundertprozentige Sicherheit, dass keine Schwachstellen enthalten sind, da Schwachstellendatenbanken, mit denen der Abgleich erfolgt, oft erst zeitverzögert nach der Entdeckung einer Schwachstelle aktualisiert werden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/51/ee/51eeb646a64d454d3577756dd044eaf0/0103095306.jpeg "Die Software-Supply-Chain muss sicherer werden, denn unsichere Geräte erweitern die Angriffsfläche und gefährden die Sicherheit des ganzen Unternehmens. (©Eisenhans - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1162100/1162108/original.jpg "Was ist sicherer, Open Source oder Closed Source? Beide Seiten haben gute Argumente, keine hat die Wahrheit für sich gepachtet. IT-Entscheider tun gut daran, in jedem Einzelfall sorgfältig abzuwägen, welche Lösung sich am besten eignet. (Pixabay)")
:quality(80)/p7i.vogel.de/wcms/71/d7/71d7e9a8c71229599fd8ccf76235e0ac/0121823850v2.jpeg "Unternehmen benötigen vollen Einblick und Kontrolle über den Entwicklungszyklus ihrer Software. (Bild: HiroSund - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/9b/be9bdb5bbe3e0dec46436508f4c70969/0120194368v1.jpeg "Software Composition Analysis (SCA) kann prüfen, ob Anwendungen von bekannten Sicherheitslücken betroffen sind. (Bild: © stnazkul - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/de/06ded9c89754195afef5bfa3d47d852a/0125048674v1.jpeg "Noch ist NIS-2 in Deutschland nicht umgesetzt. Doch Unternehmen können und sollten sich schon jetzt vorbereiten – und dabei gleichzeitig ihre Cybersecurity stärken. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/37/3337aa61f824fff11f601469a8096c61/0124274911v1.jpeg "In bedrohlichen Zeiten bieten ASPM-Ansätze Schutz über den gesamten Software Development Lifecycle. (Bild: Sora / KI-generiert)")