_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

SBOM a software supply chain security — ochrana dodavatelského řetězce

05. 02. 2026 4 min čtení CORE SYSTEMSai

SolarWinds, Log4Shell, xz Utils — útoky na software supply chain se staly jednou z nejzávažnějších hrozeb. Jak se bránit? SBOM (Software Bill of Materials) a SLSA framework jsou odpovědí, kterou v roce 2026 potřebuje každá firma.

Proč je supply chain security kritická

Moderní software je z 80–90 % tvořen open-source závislostmi. Průměrná enterprise aplikace má stovky přímých a tisíce tranzitivních závislostí. Každá z nich je potenciální vstupní bod pro útočníka.

Útoky na supply chain jsou obzvlášť zákeřné, protože obcházejí tradiční bezpečnostní opatření. Kompromitovaná knihovna projde code review, projde testy, projde scanery — protože malware je součástí „důvěryhodné” závislosti.

EU Cyber Resilience Act (CRA), který vstupuje v platnost v roce 2027, vyžaduje SBOM pro všechny softwarové produkty prodávané na evropském trhu. Příprava musí začít teď.

Co je SBOM a proč ho potřebujete

SBOM (Software Bill of Materials) je kompletní seznam všech komponent, ze kterých se skládá váš software — knihovny, frameworky, nástroje, verze, licence. Představte si to jako seznam ingrediencí na obalu potravin.

SBOM umožňuje:

  • Rychlou reakci na CVE: Když se objeví nová zranitelnost (jako Log4Shell), okamžitě víte, které aplikace jsou zasaženy.
  • License compliance: Automatická detekce licenčních konfliktů (GPL v komerčním produktu).
  • Vendor risk management: Přehled o závislostech vašich dodavatelů.
  • Regulatorní compliance: NIS2, CRA, DORA — všechny vyžadují znalost software composition.

Formáty SBOM — SPDX vs CycloneDX

Dva dominantní formáty v roce 2026:

  • SPDX (Software Package Data Exchange): ISO/IEC 5962:2021 standard. Silný v license compliance. Podporuje JSON, XML, YAML, RDF. Preferovaný NTIA a federálními agenturami v USA.
  • CycloneDX: OWASP standard. Zaměřený na security — podporuje VEX (Vulnerability Exploitability eXchange), services, ML model BOM. Lightweight JSON/XML. Preferovaný v DevSecOps komunitě.

Naše doporučení: CycloneDX pro security-first organizace, SPDX pro regulatorní compliance a license management. Nástroje umí konvertovat mezi formáty.

Generování SBOM v CI/CD pipeline

SBOM musí být generován automaticky při každém buildu. Ruční správa je nereálná. Osvědčené nástroje:

  • Syft (Anchore): Generuje SBOM z container images, filesystems, archives. Podporuje SPDX i CycloneDX. Open-source.
  • Trivy (Aqua Security): Scanner + SBOM generátor v jednom. Skvělá integrace s Kubernetes.
  • cdxgen: CycloneDX generátor s podporou 30+ jazyků a frameworků. Detekuje i reachability — zda je zranitelný kód skutečně volán.
  • GitHub/GitLab native: Oba platformy nabízejí dependency graph a SBOM export. Dobrý start pro menší projekty.

Integrace do pipeline vypadá typicky takto: build → SBOM generation → vulnerability scan → SBOM signing → SBOM storage → deployment.

SLSA framework — integrita buildu

SBOM říká „z čeho se software skládá”. SLSA (Supply-chain Levels for Software Artifacts) říká „jak byl software postaven” — a zda můžete procesu důvěřovat.

SLSA definuje čtyři úrovně:

  • Level 1: Dokumentace build procesu — kdo, kdy, jak. Provenance metadata.
  • Level 2: Automatizovaný build + podepsaná provenance. Hostovaný build service (GitHub Actions, GitLab CI).
  • Level 3: Hardened build platform — izolované buildy, tamper-resistant provenance. Reproducible builds.
  • Level 4: Dvou-osobní review, hermetic build, plná auditovatelnost. Enterprise standard pro kritický software.

Většina českých firem je na Level 0–1. Cílem pro rok 2026 by měl být minimálně Level 2 — automatizovaný CI/CD s podepsanou provenance.

Dependency management best practices

SBOM a SLSA jsou důležité, ale prevence je lepší než detekce:

  • Lock files everywhere: package-lock.json, Pipfile.lock, go.sum — pinujte přesné verze. Žádné floating ranges v produkci.
  • Private registry proxy: Artifactory nebo Nexus jako proxy pro npm, PyPI, Maven Central. Cachuje, skenuje a blokuje problematické balíčky.
  • Automated dependency updates: Dependabot nebo Renovate s automatickými PR. Ale: review before merge, nikdy auto-merge pro major verze.
  • Scorecard check: OpenSSF Scorecard hodnotí bezpečnostní praktiky open-source projektů. Integrujte do PR review — upozorní na závislosti s nízkou security hygienou.
  • Sigstore / cosign: Podepisujte vlastní artefakty (container images, binárky). Ověřujte podpisy při deploymentu.

VEX — kontext k zranitelnostem

SBOM + vulnerability scan generuje stovky nálezů. Většina z nich jsou false positives nebo neaplikovatelné zranitelnosti. VEX (Vulnerability Exploitability eXchange) přidává kontext:

  • Not Affected: Zranitelná funkce není volána v našem kódu
  • Affected: Jsme zasaženi, ale máme mitigaci
  • Fixed: Opraveno v dané verzi
  • Under Investigation: Vyšetřujeme

VEX dramatically snižuje alert fatigue a pomáhá security týmům fokusovat se na skutečné hrozby.

Praktický roadmap pro české firmy

Zavádění supply chain security krok za krokem:

  • Měsíc 1–2: Audit současného stavu. Inventarizace závislostí. Zavedení lock files. Nasazení Trivy/Syft do CI/CD.
  • Měsíc 3–4: SBOM generování pro všechny produkční aplikace. Centrální SBOM storage (Dependency-Track). Vulnerability alerting.
  • Měsíc 5–6: SLSA Level 2 — podepsaná provenance, automatizované buildy. Private registry proxy. Scorecard integration.
  • Ongoing: VEX proces pro triáž zranitelností. Pravidelný audit dodavatelů. Příprava na CRA compliance.

Supply chain security je team sport

Ochrana software supply chain není jen záležitost security týmu. Vyžaduje spolupráci developers (dependency management), DevOps (CI/CD hardening), security (vulnerability management) a managementu (risk governance).

Náš tip: Začněte generováním SBOM pro jednu kritickou aplikaci. Uvidíte, kolik závislostí ani nevíte, že máte. To je nejlepší motivace k akci.

sbomsupply chainsecuritydevsecops

Související články

Supply Chain Security — SLSA, Sigstore a software provenance

Zabezpečení software supply chain. SLSA framework, Sigstore pro podepisování artefaktů a SBOM v CI/CD.

SBOM generování — Software Bill of Materials

Co je SBOM, proč ho potřebujete a jak ho generovat.

Log4Shell — poučení z nejhorší zranitelnosti dekády

CVE-2021-44228 a co jsme se naučili. SBOM, dependency scanning, incident response a supply chain security.