¿Qué significa sbom?

SBOM (Software Bill of Materials) es una lista completa de todos los componentes de software utilizados por una organización. Los SBOM suelen consistir en bibliotecas de código abierto de terceros, paquetes de software proporcionados por proveedores y software propietario escrito por la propia organización.

El SBOM es esencialmente una lista de todos los componentes de software utilizados en una aplicación. Sin un SBOM, las empresas no tienen forma de comprender los riesgos de licencia y seguridad asociados con el software que se construye o utiliza. Mantener un inventario actualizado que se ajuste al formato SBOM es fundamental para mantenerse al día con el desarrollo ágil. Esto se debe a que en el rápido desarrollo del software moderno, los componentes y sus versiones cambian muy rápidamente.

Los SBOM se están volviendo cada vez más importantes y valiosos porque las aplicaciones actuales a menudo se crean a partir de muchos componentes independientes, a menudo a partir de una variedad de paquetes de software de código abierto o propietario. Dadas estas complejidades, puede resultar difícil para las organizaciones y las personas asociadas con un producto comprender completamente la cadena de suministro de software y los riesgos de licencia que puedan existir.

Y SBOM puede ayudar a las empresas a identificar y corregir rápidamente posibles vulnerabilidades de seguridad, cumplir con los requisitos de licencia y aplicar las mejores prácticas de control de versiones. Además, el año pasado el gobierno de EE. UU. emitió una norma que exige que las organizaciones que venden productos al gobierno federal creen un SBOM para mejorar aún más la seguridad.

El componente mínimo de SBOM se divide en tres campos:

1. Campo de datos: información base para cada proyecto de software basado en componentes.

2. Soporte de automatización: la capacidad de generar SBOM automáticamente en formatos legibles por máquinas y humanos.

3. Prácticas y procesos: Cómo y cuándo generar y distribuir SBOM.