Cryptographic Bill of Materials (CBOM)
O que é Cryptographic Bill of Materials (CBOM)?
Cryptographic Bill of Materials (CBOM)Inventário de todos os ativos criptográficos usados por software ou sistemas - algoritmos, tamanhos de chave, certificados, bibliotecas e protocolos - para apoiar agilidade criptográfica e prontidão pós-quântica.
O CBOM estende o conceito de SBOM à criptografia. Regista algoritmos (RSA-2048, AES-256-GCM, SHA-256), modos, parâmetros, ciclo de vida das chaves, certificados, bibliotecas (OpenSSL, BoringSSL) e protocolos (TLS 1.3, SSH, IKEv2), bem como onde e como são usados. Ajuda a identificar criptografia fraca ou obsoleta, a planear a migração para algoritmos pós-quânticos, a cumprir políticas criptográficas nacionais e a demonstrar diligência aos reguladores do setor financeiro e de infraestruturas críticas. O grupo OWASP CBOM e o CycloneDX 1.6+ fornecem um formato legível por máquina. Os CBOM tornam-se essenciais à medida que os governos exigem avaliações de prontidão pós-quântica e a criptografia continua a ser fonte frequente de vulnerabilidades de cadeia de fornecimento.
● Exemplos
- 01
CBOM CycloneDX que identifica todas as dependências RSA-1024 para um plano de migração PQC.
- 02
CBOM produzido em pentest para destacar cipher suites obsoletas numa plataforma de pagamentos.
● Perguntas frequentes
O que é Cryptographic Bill of Materials (CBOM)?
Inventário de todos os ativos criptográficos usados por software ou sistemas - algoritmos, tamanhos de chave, certificados, bibliotecas e protocolos - para apoiar agilidade criptográfica e prontidão pós-quântica. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Cryptographic Bill of Materials (CBOM)?
Inventário de todos os ativos criptográficos usados por software ou sistemas - algoritmos, tamanhos de chave, certificados, bibliotecas e protocolos - para apoiar agilidade criptográfica e prontidão pós-quântica.
Como funciona Cryptographic Bill of Materials (CBOM)?
O CBOM estende o conceito de SBOM à criptografia. Regista algoritmos (RSA-2048, AES-256-GCM, SHA-256), modos, parâmetros, ciclo de vida das chaves, certificados, bibliotecas (OpenSSL, BoringSSL) e protocolos (TLS 1.3, SSH, IKEv2), bem como onde e como são usados. Ajuda a identificar criptografia fraca ou obsoleta, a planear a migração para algoritmos pós-quânticos, a cumprir políticas criptográficas nacionais e a demonstrar diligência aos reguladores do setor financeiro e de infraestruturas críticas. O grupo OWASP CBOM e o CycloneDX 1.6+ fornecem um formato legível por máquina. Os CBOM tornam-se essenciais à medida que os governos exigem avaliações de prontidão pós-quântica e a criptografia continua a ser fonte frequente de vulnerabilidades de cadeia de fornecimento.
Como se defender contra Cryptographic Bill of Materials (CBOM)?
As defesas contra Cryptographic Bill of Materials (CBOM) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Cryptographic Bill of Materials (CBOM)?
Nomes alternativos comuns: CBOM, Inventário criptográfico.
● Termos relacionados
- appsec№ 1068
Software Bill of Materials (SBOM)
Inventário formal e legível por máquina dos componentes, bibliotecas e dependências que compõem um software, com versões e respetivas relações.
- cryptography№ 846
Criptografia pós-quântica
Algoritmos criptográficos clássicos concebidos para se manterem seguros contra ataques de computadores clássicos e computadores quânticos de grande escala.
- cryptography№ 249
Criptografia
Ciência que protege a informação por meio de técnicas matemáticas que garantem confidencialidade, integridade, autenticidade e não repúdio na presença de adversários.
- appsec№ 1069
Segurança da cadeia de fornecimento de software
Disciplina que protege cada elo da produção de software - código-fonte, dependências, build, assinatura, distribuição e deploy - contra manipulação, código malicioso e perda de integridade.
- cryptography№ 172
Suíte criptográfica
Combinação nomeada de algoritmos criptográficos — troca de chaves, autenticação, cifragem e integridade — negociada por protocolos como o TLS para uma dada sessão.
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico padronizado pelo IETF que fornece confidencialidade, integridade e autenticação ao tráfego entre duas aplicações em rede.