Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Bill of Materials (SBOM) deBill of Materials (SBOM) Software Bill of Materials (SBOM) 

Por OPSWAT
Última actualización:
Comparte esta publicación

Software depende en gran medida del uso de componentes preconfigurados de terceros para optimizar los procesos, algunos de los cuales son de código abierto. Estos componentes constituyen los pilares de las aplicaciones web modernas, pero también pueden introducir vulnerabilidades, lo que ofrece a los ciberdelincuentes posibles puntos de acceso a su sistema. 

Para conocer los componentes que conforman su software y gestionar las vulnerabilidades de las dependencias, es fundamental mantener una lista denominada SBOM (lista de materiales de software) a fin de reforzar la seguridad, la gestión de riesgos y el cumplimiento normativo de su aplicación. 

¿Qué es una SBOM? 

A Software Bill of Materials (SBOM) es un inventario detallado de todos los componentes, bibliotecas y dependencias, tanto de código cerrado como de código abierto, utilizados en una aplicación. En términos más sencillos, al igual que un producto físico puede incluir una lista de piezas y materiales, el software también tiene sus componentes. 

Los desarrolladores y los proveedores suelen crear software combinando código de código abierto y código comercial. La SBOM detalla de forma sistemática estos componentes para garantizar la transparencia y la trazabilidad de los elementos fundamentales del código en los productos de software, lo que contribuye a reforzar la seguridad de la cadena de suministro y a garantizar el cumplimiento de la normativa. 

¿Cuáles son las ventajas de una SBOM? 

En esencia, una SBOM ofrece tres ventajas principales: 

Transparencia 

Ofrece una visión clara de la composición del software, lo que permite a las partes interesadas —ya sean desarrolladores, auditores o usuarios finales— comprender los componentes que conforman su pila de software.

Vulnerability Management 

La seguridad es una de las principales preocupaciones en el desarrollo de software. Una SBOM permite localizar rápidamente los componentes de un producto de software, lo que facilita la identificación, el tratamiento y la corrección de vulnerabilidades.

Cuando se publica un aviso de seguridad, suele contener información actualizada sobre las vulnerabilidades de los componentes de software. Al cotejar una SBOM con los últimos avisos de seguridad, las organizaciones pueden determinar rápidamente si sus aplicaciones corren riesgo y adoptar las medidas de mitigación necesarias para garantizar que estén debidamente protegidas.

Integración en el ciclo de vidaSoftware (SDLC)

A medida que el software avanza por el proceso de desarrollo, se va actualizando continuamente, desde la conceptualización y el diseño hasta la implementación y el mantenimiento. Una SBOM actúa como un registro dinámico que garantiza una visión clara de los componentes, las dependencias y las relaciones del software en cada etapa del ciclo de vida del desarrollo de software (SDLC).

¿Quién necesita una SBOM? 

En términos generales, se puede considerar consumidor de software a cualquier entidad, ya sea comercial o no comercial, que adquiera componentes y utilidades de software de terceros a través de proveedores. Estos proveedores abarcan un amplio abanico: 

  • Empresas de software comercial
  • Desarrolladores de software por encargo que suministran componentes de software
  • Proveedores Software libre y de código abierto (FOSS) que gestionan código en repositorios abiertos o mediante gestores de paquetes

Cabe destacar que estos proveedores desempeñan múltiples funciones. Pueden ser fabricantes, desarrolladores, encargados del mantenimiento o proveedores. Lo ideal sería que estas entidades también se encargaran de gestionar las listas de materiales de software (SBOM) de sus capacidades de software. Una distinción importante que hay que tener en cuenta es que la mayoría de los proveedores son también consumidores. Sin embargo, un proveedor que no utilice componentes de otros proveedores suele considerarse una entidad raíz.

La lista de materiales de seguridad (SBOM) en el sector público

Las agencias federales desempeñan un papel fundamental en la adopción y el cumplimiento de las normas relativas a las listas de componentes de software (SBOM). Su función de supervisión no se limita a establecer criterios de referencia, sino que también consiste en garantizar el cumplimiento de dichos criterios en aras del interés público general. El Decreto Ejecutivo 14028 de los Estados Unidos, promulgado en mayo de 2021, encomienda a varias agencias con amplias competencias, entre ellas el NIST (Instituto Nacional de Estándares y Tecnología), la tarea de mejorar la ciberseguridad mediante diversas iniciativas relacionadas con la seguridad y la integridad de la cadena de suministro de software.

El apartado 10 (j) del Decreto Ejecutivo 14028 define una SBOM como un «registro formal que contiene los detalles y las relaciones en la cadena de suministro de los distintos componentes utilizados en el desarrollo de software». Las SBOM tienen el potencial de proporcionar una mayor transparencia y trazabilidad, así como de acelerar la identificación y corrección de vulnerabilidades por parte de los departamentos y organismos federales.

Tipos y definiciones de la lista de materiales de seguridad (SBOM) 

En función de la fase de desarrollo y despliegue del software, se generan diferentes tipos de SBOM, cada uno de los cuales tiene una finalidad específica y ofrece información concreta sobre los componentes del software. A continuación se enumeran seis tipos habituales de documentos SBOM.

Diseño

En esta fase del desarrollo de la aplicación, es posible que algunos componentes ni siquiera existan todavía. Este tipo de SBOM suele derivarse de una especificación de diseño, una solicitud de propuestas (RFP) o un concepto inicial.

Fuente

Generado directamente desde el entorno de desarrollo, ofrece información sobre los archivos fuente y las dependencias necesarias para compilar un artefacto del producto. Normalmente se genera a partir de herramientas de análisis de composición de software (SCA), aunque en ocasiones requiere aclaraciones manuales.

Construir

Se genera como parte del proceso de compilación del software y consolida los datos de los archivos fuente, los componentes compilados y otras dependencias. Esto resulta especialmente útil, ya que se genera al crear un artefacto de software listo para su lanzamiento.

Analizado

Esta SBOM se obtiene a partir del análisis posterior a la compilación de artefactos de software, como ejecutables o imágenes de máquinas virtuales. Se basa en diversas heurísticas y, en ocasiones, se denomina SBOM de «terceros».

Implementado

Un inventario exhaustivo del software presente en un sistema. Se genera a partir de la documentación de la lista de materiales de software (SBOM) de los componentes de software instalados en los sistemas y ofrece información sobre la implementación real del software.

Duración

Creada mediante la instrumentación del sistema en tiempo real, esta SBOM recoge los componentes presentes durante la ejecución del software. Ofrece información sobre los componentes dinámicos y las conexiones externas, y también puede denominarse «instrumentada» o «dinámica».

¿Cuáles son los elementos de una SBOM? 

Según la NTIA (Administración Nacional de Telecomunicaciones e Información), los elementos mínimos que debe incluir una SBOM son el nombre del proveedor del software, los componentes, sus versiones, los identificadores únicos, la relación entre las dependencias, el autor de los datos de la SBOM y la marca de tiempo. Además, para que los datos de la SBOM sean eficaces y exhaustivos, deben contener los siguientes elementos: 

  • Campos de datos: Deben definirse claramente los campos de datos que detallen el nombre, las versiones y los atributos de los componentes del software. Esto garantiza que todas las partes interesadas comprendan a la perfección la estructura del software. 
  • Compatibilidad con la automatización: Dada la naturaleza dinámica del desarrollo de software, una SBOM debe poder actualizarse automáticamente e integrarse en los procesos de desarrollo y despliegue de software. Esto garantiza la precisión y la eficiencia en tiempo real. 
  • Prácticas y procesos: Más allá de limitarse a enumerar componentes, una SBOM debe integrarse en las mejores prácticas y los procesos que rigen su creación, mantenimiento y utilización. 

Formatos de la lista de materiales (SBOM)

Entre los formatos de SBOM más habituales se encuentran:

  • SPDX (Software Data Exchange), desarrollado por la Fundación Linux
  • CycloneDX: se utiliza habitualmente para la seguridad de las aplicaciones
  • SWID (etiquetadoSoftware ): definido por la norma ISO/IEC 19770-2

Al catalogar cada componente, una SBOM permite a las organizaciones identificar claramente las licencias asociadas a cada elemento de software, lo que garantiza el cumplimiento de las condiciones de las licencias y evita posibles problemas legales.

Mantén el cumplimiento normativo y Secure tu ciclo de vida del desarrollo de software (SDLC) 

Debido al aumento de los ataques a la cadena de suministro, el Gobierno federal y el sector privado reconocen la importancia de la identificación del software. Una SBOM es fundamental para detallar los componentes del software, especialmente los de terceros. Los datos de la SBOM ayudan a prevenir vulnerabilidades y garantizan la transparencia en su elaboración. Todo software debería incluir una SBOM exhaustiva para reforzar las medidas de seguridad. 

Al catalogar cada componente, una SBOM permite a las organizaciones identificar claramente las licencias asociadas a cada elemento de software, lo que garantiza el cumplimiento de las condiciones de las licencias y evita posibles problemas legales. 

Con OPSWAT , los desarrolladores pueden identificar vulnerabilidades conocidas, validar licencias y generar un inventario de componentes para el software de código abierto (OSS), las dependencias de terceros y los contenedores. Para obtener más información sobre cómo proteger su cadena de suministro de software con soluciones SBOM fiables, visite la soluciónSupply Chain Software OPSWAT.

Etiquetas:

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.