SBOM — Definición IT
Software Bill of Materials: inventario detallado y estructurado de todos los componentes de software que constituyen una aplicación, incluyendo sus versiones y sus licencias.
Un SBOM (Software Bill of Materials, o nomenclatura de software) es un inventario detallado y estructurado de todos los componentes de software que constituyen una aplicación: bibliotecas open source, dependencias, versiones, licencias, y sus relaciones.
El SBOM se ha convertido en un tema estratégico con la multiplicación de los ataques de la cadena de suministro de software (Log4Shell en 2021, SolarWinds en 2020, xz-utils en 2024) y con la entrada en aplicación del Cyber Resilience Act europeo (2025-2027) y DORA / NIS2.
Por qué el SBOM cuenta
Una aplicación moderna típica reposa sobre cientos a miles de componentes open source. Sin SBOM:
- •Cuando una vulnerabilidad como Log4Shell es anunciada, imposible saber rápidamente qué aplicaciones están impactadas.
- •Durante una auditoría de conformidad, imposible probar que se respetan las licencias open source.
- •En caso de ataque de la supply chain, imposible detectar rápidamente la contaminación.
Los estándares de SBOM
- •CycloneDX: (OWASP, 2017).
- •SPDX: (Linux Foundation, 2010, norma ISO/IEC 5962:2021).
- •SWID Tags: (ISO/IEC 19770-2).
El contenido de un SBOM
- •Componentes: nombre, versión, proveedor, hash.
- •Relaciones: .
- •Licencias: SPDX ID.
- •Vulnerabilidades conocidas: CVE.
- •Metadatos: .
SBOM y CRA (Cyber Resilience Act)
El Cyber Resilience Act impone a los fabricantes:
- •Producción de un SBOM actualizado para cada producto puesto en el mercado europeo.
- •Publicación de las vulnerabilidades identificadas en las 24 horas.
- •Parches gratuitos durante 5 años mínimo.
SBOM y VEX
El VEX (Vulnerability Exploitability eXchange) completa el SBOM.
Cómo producir un SBOM
- •CI/CD integrado: Syft, CycloneDX CLI, Microsoft sbom-tool.
- •Scan de imagen contenedor: Trivy, Grype, Snyk.
- •Scan binario: Anchore, Black Duck.
- •Plataformas de gobernanza: Sonatype, JFrog Xray, Mend, Snyk.
SBOM y cartografía aplicativa
El SBOM es a la escala de una aplicación. La cartografía aplicativa es a la escala del SI. Kabeen agrega automáticamente los SBOM de todas las aplicaciones conocidas.
Preguntas frecuentes
¿Qué es un SBOM?
+
Un SBOM (Software Bill of Materials) es el inventario detallado y estructurado de todos los componentes de software que constituyen una aplicación: bibliotecas open source, dependencias, versiones, licencias, y sus relaciones. Es el equivalente software de una nomenclatura industrial. Sin SBOM, imposible saber rápidamente qué aplicaciones están impactadas cuando una vulnerabilidad como Log4Shell es anunciada.
¿Cuáles son los estándares de SBOM?
+
Tres estándares coexisten: CycloneDX (OWASP, 2017, formato JSON/XML orientado seguridad), SPDX (Linux Foundation, 2010, norma ISO/IEC 5962:2021, acento en las licencias), y SWID Tags (ISO/IEC 19770-2, formato XML, orientado ITAM). CycloneDX y SPDX son los más utilizados.
¿Es obligatorio el SBOM?
+
Sí en varios casos: el Cyber Resilience Act europeo (en aplicación 2025-2027) impone un SBOM actualizado para todo producto con componentes digitales puesto en el mercado europeo. DORA y NIS2 exigen una trazabilidad de los componentes de software. En Estados Unidos, la Executive Order 14028 (2021) impone un SBOM para todo proveedor del gobierno federal.
¿Diferencia entre SBOM y VEX?
+
El SBOM dice lo que hay en una aplicación («mi app contiene log4j 2.14»). El VEX (Vulnerability Exploitability eXchange) dice si una vulnerabilidad conocida es efectivamente explotable en el contexto de uso («no, porque la función vulnerable nunca es invocada»). VEX permite evitar el pánico.
Todos los términos
Método de las 5R
Una estrategia utilizada durante la racionalización de aplicaciones para determinar el mejor enfoque de gestión.
Método de las 8R
Una versión extendida del método 5R utilizada en la gestión del portafolio de aplicaciones y estrategias de migración.
Aplicación
Un programa informático o conjunto de programas diseñados para agilizar las operaciones comerciales.
Arquitectura
Se refiere a la estructura y comportamiento de los sistemas de TI, procesos e infraestructura dentro de una organización.
¿Necesita ayuda para mapear su panorama TI?
Kabeen le ayuda a inventariar, analizar y optimizar su portafolio de aplicaciones.