Software Bill of Materials (SBOM)
¿Qué es Software Bill of Materials (SBOM)?
Software Bill of Materials (SBOM)Inventario formal y legible por máquina de los componentes, bibliotecas y dependencias que componen un software, junto con sus versiones y relaciones.
Un SBOM es para el software lo que la lista de ingredientes para un alimento envasado. Enumera componentes open source y propietarios, dependencias transitivas, versiones, proveedores, licencias y, a menudo, hashes criptográficos. Estándares habituales son CycloneDX, SPDX y SWID. Los SBOM permiten la gestión de vulnerabilidades (mapear CVE y KEV a software desplegado), el cumplimiento de licencias, la respuesta a incidentes (responder rápido a "¿nos afecta Log4Shell?") y la due diligence de compras. Reguladores como la Orden Ejecutiva 14028 de EE. UU., la Cyber Resilience Act de la UE o las guías de ENISA exigen cada vez más SBOM para el software entregado a gobiernos o sectores críticos. Los programas modernos generan SBOM automáticamente en CI/CD y los firman o atestiguan junto a las builds.
● Ejemplos
- 01
SBOM CycloneDX generado en cada build y enviado a una instancia de dependency-track.
- 02
Cláusula contractual de intercambio de SBOM en un contrato de SaaS regulado.
● Preguntas frecuentes
¿Qué es Software Bill of Materials (SBOM)?
Inventario formal y legible por máquina de los componentes, bibliotecas y dependencias que componen un software, junto con sus versiones y relaciones. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Software Bill of Materials (SBOM)?
Inventario formal y legible por máquina de los componentes, bibliotecas y dependencias que componen un software, junto con sus versiones y relaciones.
¿Cómo defenderse de Software Bill of Materials (SBOM)?
Las defensas contra Software Bill of Materials (SBOM) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Software Bill of Materials (SBOM)?
Nombres alternativos comunes: SBOM, Inventario de componentes de software.