Cryptographic Bill of Materials (CBOM)
¿Qué es Cryptographic Bill of Materials (CBOM)?
Cryptographic Bill of Materials (CBOM)Inventario de todos los activos criptográficos que utiliza un software o sistema —algoritmos, longitudes de clave, certificados, bibliotecas y protocolos— para apoyar la cripto-agilidad y la preparación postcuántica.
Un CBOM extiende el concepto de SBOM al ámbito criptográfico. Recoge algoritmos (p. ej. RSA-2048, AES-256-GCM, SHA-256), modos, parámetros, ciclo de vida de claves, certificados, bibliotecas (OpenSSL, BoringSSL) y protocolos (TLS 1.3, SSH, IKEv2), junto con dónde y cómo se usan. Permite identificar cifrados débiles o obsoletos, planificar la migración a algoritmos postcuánticos, cumplir políticas criptográficas nacionales y mostrar diligencia a los reguladores en finanzas e infraestructuras críticas. El grupo OWASP CBOM y CycloneDX 1.6+ proporcionan un formato legible por máquina. Los CBOM se vuelven imprescindibles a medida que los gobiernos exigen evaluaciones de preparación postcuántica y la criptografía sigue siendo una fuente frecuente de vulnerabilidades en la cadena de suministro.
● Ejemplos
- 01
CBOM CycloneDX que identifica todas las dependencias RSA-1024 para un plan de migración PQC.
- 02
CBOM producido durante un pentest para destacar suites de cifrado obsoletas en una plataforma de pagos.
● Preguntas frecuentes
¿Qué es Cryptographic Bill of Materials (CBOM)?
Inventario de todos los activos criptográficos que utiliza un software o sistema —algoritmos, longitudes de clave, certificados, bibliotecas y protocolos— para apoyar la cripto-agilidad y la preparación postcuántica. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Cryptographic Bill of Materials (CBOM)?
Inventario de todos los activos criptográficos que utiliza un software o sistema —algoritmos, longitudes de clave, certificados, bibliotecas y protocolos— para apoyar la cripto-agilidad y la preparación postcuántica.
¿Cómo funciona Cryptographic Bill of Materials (CBOM)?
Un CBOM extiende el concepto de SBOM al ámbito criptográfico. Recoge algoritmos (p. ej. RSA-2048, AES-256-GCM, SHA-256), modos, parámetros, ciclo de vida de claves, certificados, bibliotecas (OpenSSL, BoringSSL) y protocolos (TLS 1.3, SSH, IKEv2), junto con dónde y cómo se usan. Permite identificar cifrados débiles o obsoletos, planificar la migración a algoritmos postcuánticos, cumplir políticas criptográficas nacionales y mostrar diligencia a los reguladores en finanzas e infraestructuras críticas. El grupo OWASP CBOM y CycloneDX 1.6+ proporcionan un formato legible por máquina. Los CBOM se vuelven imprescindibles a medida que los gobiernos exigen evaluaciones de preparación postcuántica y la criptografía sigue siendo una fuente frecuente de vulnerabilidades en la cadena de suministro.
¿Cómo defenderse de Cryptographic Bill of Materials (CBOM)?
Las defensas contra Cryptographic Bill of Materials (CBOM) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Cryptographic Bill of Materials (CBOM)?
Nombres alternativos comunes: CBOM, Inventario criptográfico.
● Términos relacionados
- appsec№ 1068
Software Bill of Materials (SBOM)
Inventario formal y legible por máquina de los componentes, bibliotecas y dependencias que componen un software, junto con sus versiones y relaciones.
- cryptography№ 846
Criptografía post-cuántica
Algoritmos criptográficos clásicos diseñados para seguir siendo seguros frente a ataques de ordenadores clásicos y cuánticos a gran escala.
- cryptography№ 249
Criptografía
Ciencia que protege la información mediante técnicas matemáticas que garantizan confidencialidad, integridad, autenticidad y no repudio frente a adversarios.
- appsec№ 1069
Seguridad de la cadena de suministro de software
Disciplina que protege cada eslabón de la producción de software —fuente, dependencias, build, firma, distribución y despliegue— frente a manipulación, código malicioso y pérdida de integridad.
- cryptography№ 172
Suite de cifrado
Combinación nombrada de algoritmos criptográficos —intercambio de claves, autenticación, cifrado de datos e integridad— negociada por protocolos como TLS para una sesión.
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico estandarizado por el IETF que aporta confidencialidad, integridad y autenticación al tráfico entre dos aplicaciones en red.