Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Español
Entry № 1068

Software Bill of Materials (SBOM)

¿Qué es Software Bill of Materials (SBOM)?

Software Bill of Materials (SBOM)Inventario formal y legible por máquina de los componentes, bibliotecas y dependencias que componen un software, junto con sus versiones y relaciones.

Un SBOM es para el software lo que la lista de ingredientes para un alimento envasado. Enumera componentes open source y propietarios, dependencias transitivas, versiones, proveedores, licencias y, a menudo, hashes criptográficos. Estándares habituales son CycloneDX, SPDX y SWID. Los SBOM permiten la gestión de vulnerabilidades (mapear CVE y KEV a software desplegado), el cumplimiento de licencias, la respuesta a incidentes (responder rápido a "¿nos afecta Log4Shell?") y la due diligence de compras. Reguladores como la Orden Ejecutiva 14028 de EE. UU., la Cyber Resilience Act de la UE o las guías de ENISA exigen cada vez más SBOM para el software entregado a gobiernos o sectores críticos. Los programas modernos generan SBOM automáticamente en CI/CD y los firman o atestiguan junto a las builds.

Ejemplos

  1. 01

    SBOM CycloneDX generado en cada build y enviado a una instancia de dependency-track.

  2. 02

    Cláusula contractual de intercambio de SBOM en un contrato de SaaS regulado.

Preguntas frecuentes

¿Qué es Software Bill of Materials (SBOM)?

Inventario formal y legible por máquina de los componentes, bibliotecas y dependencias que componen un software, junto con sus versiones y relaciones. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.

¿Qué significa Software Bill of Materials (SBOM)?

Inventario formal y legible por máquina de los componentes, bibliotecas y dependencias que componen un software, junto con sus versiones y relaciones.

¿Cómo funciona Software Bill of Materials (SBOM)?

Un SBOM es para el software lo que la lista de ingredientes para un alimento envasado. Enumera componentes open source y propietarios, dependencias transitivas, versiones, proveedores, licencias y, a menudo, hashes criptográficos. Estándares habituales son CycloneDX, SPDX y SWID. Los SBOM permiten la gestión de vulnerabilidades (mapear CVE y KEV a software desplegado), el cumplimiento de licencias, la respuesta a incidentes (responder rápido a "¿nos afecta Log4Shell?") y la due diligence de compras. Reguladores como la Orden Ejecutiva 14028 de EE. UU., la Cyber Resilience Act de la UE o las guías de ENISA exigen cada vez más SBOM para el software entregado a gobiernos o sectores críticos. Los programas modernos generan SBOM automáticamente en CI/CD y los firman o atestiguan junto a las builds.

¿Cómo defenderse de Software Bill of Materials (SBOM)?

Las defensas contra Software Bill of Materials (SBOM) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Software Bill of Materials (SBOM)?

Nombres alternativos comunes: SBOM, Inventario de componentes de software.

Términos relacionados

Véase también