Software Bill of Materials (SBOM)
O que é Software Bill of Materials (SBOM)?
Software Bill of Materials (SBOM)Inventário formal e legível por máquina dos componentes, bibliotecas e dependências que compõem um software, com versões e respetivas relações.
Um SBOM está para o software como a lista de ingredientes está para um alimento embalado. Enumera componentes open source e proprietários, dependências transitivas, versões, fornecedores, licenças e, frequentemente, hashes criptográficos. Os padrões comuns são CycloneDX, SPDX e SWID. Os SBOM permitem gestão de vulnerabilidades (mapear CVEs e KEVs ao software em produção), conformidade de licenças, resposta a incidentes ("somos afetados pelo Log4Shell?") e due diligence de compras. Reguladores - Ordem Executiva 14028 nos EUA, Cyber Resilience Act na UE, orientações da ENISA - exigem cada vez mais SBOM para software entregue a entidades públicas ou setores críticos. Programas modernos geram SBOM automaticamente no CI/CD e assinam ou atestam junto com as builds.
● Exemplos
- 01
SBOM CycloneDX gerado em cada build e enviado para uma instância de dependency-track.
- 02
Cláusula de troca de SBOM no contrato de aquisição de uma plataforma SaaS regulada.
● Perguntas frequentes
O que é Software Bill of Materials (SBOM)?
Inventário formal e legível por máquina dos componentes, bibliotecas e dependências que compõem um software, com versões e respetivas relações. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Software Bill of Materials (SBOM)?
Inventário formal e legível por máquina dos componentes, bibliotecas e dependências que compõem um software, com versões e respetivas relações.
Como funciona Software Bill of Materials (SBOM)?
Um SBOM está para o software como a lista de ingredientes está para um alimento embalado. Enumera componentes open source e proprietários, dependências transitivas, versões, fornecedores, licenças e, frequentemente, hashes criptográficos. Os padrões comuns são CycloneDX, SPDX e SWID. Os SBOM permitem gestão de vulnerabilidades (mapear CVEs e KEVs ao software em produção), conformidade de licenças, resposta a incidentes ("somos afetados pelo Log4Shell?") e due diligence de compras. Reguladores - Ordem Executiva 14028 nos EUA, Cyber Resilience Act na UE, orientações da ENISA - exigem cada vez mais SBOM para software entregue a entidades públicas ou setores críticos. Programas modernos geram SBOM automaticamente no CI/CD e assinam ou atestam junto com as builds.
Como se defender contra Software Bill of Materials (SBOM)?
As defesas contra Software Bill of Materials (SBOM) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Software Bill of Materials (SBOM)?
Nomes alternativos comuns: SBOM, Inventário de componentes de software.
● Termos relacionados
- appsec№ 1069
Segurança da cadeia de fornecimento de software
Disciplina que protege cada elo da produção de software - código-fonte, dependências, build, assinatura, distribuição e deploy - contra manipulação, código malicioso e perda de integridade.
- appsec№ 245
Cryptographic Bill of Materials (CBOM)
Inventário de todos os ativos criptográficos usados por software ou sistemas - algoritmos, tamanhos de chave, certificados, bibliotecas e protocolos - para apoiar agilidade criptográfica e prontidão pós-quântica.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado pelo OpenSSF que endurece progressivamente a forma como o software é construído, assinado e verificado contra manipulação da cadeia de fornecimento.
- appsec№ 870
Atestação de proveniência
Declaração assinada e verificável por máquina que descreve como um artefacto de software foi produzido - fonte, sistema de build, parâmetros e dependências - para os consumidores confiarem na sua origem.
- appsec№ 971
SCA (Software Composition Analysis)
Análise automatizada dos componentes open source e de terceiros da aplicação para identificar vulnerabilidades conhecidas, problemas de licença e dependências desatualizadas ou arriscadas.
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
● Veja também
- № 025AI Bill of Materials (AIBOM)
- № 522in-toto