Una lista de materiales de software [1] (SBOM) es una lista de componentes en una pieza de software . Los proveedores de software a menudo crean productos ensamblando componentes de software comercial y de código abierto . El SBOM describe los componentes de un producto. [2] [3] Es análogo a una lista de ingredientes en el empaque de alimentos.
El concepto de una lista de materiales está bien establecido en la fabricación tradicional como parte de la gestión de la cadena de suministro . [4] Un fabricante usa una lista de materiales para rastrear las partes que usa para crear un producto. Si posteriormente se encuentran defectos en una pieza específica, la lista de materiales facilita la localización de los productos afectados.
Un SBOM es útil tanto para el constructor (fabricante) como para el comprador (cliente) de un producto de software. Los constructores a menudo aprovechan los componentes de software de código abierto y de terceros disponibles para crear un producto; un SBOM permite al constructor asegurarse de que esos componentes estén actualizados y responder rápidamente a nuevas vulnerabilidades. [5] Los compradores pueden usar un SBOM para realizar análisis de vulnerabilidad o licencia, los cuales pueden usarse para evaluar el riesgo en un producto. Aunque muchas empresas utilizan Microsoft Excel [6] para la gestión general de la lista de materiales, existen riesgos y problemas adicionales al utilizar una hoja de cálculo para un SBOM. Los SBOM obtienen un mayor valor cuando se almacenan colectivamente en un repositorio que otras aplicaciones y sistemas pueden consultar fácilmente.
Comprender la cadena de suministro de software, obtener un SBOM y usarlo para analizar vulnerabilidades conocidas son cruciales en la gestión de riesgos . [7] [8] [9]
La Ley de Transparencia y Gestión de la Cadena de Suministro Cibernético de 2014 [10] fue una legislación estadounidense que propuso exigir a las agencias gubernamentales que obtengan SBOM para cualquier producto nuevo que compren. También habría requerido obtener SBOM para "cualquier software, firmware o producto en uso por el gobierno de los Estados Unidos". Aunque finalmente no se aprobó, esta ley generó conciencia al gobierno y estimuló una legislación posterior como la "Ley de mejora de la seguridad cibernética de Internet de las cosas de 2017". [11] [12]
Referencias
- ^ "Lista de materiales del software" . ntia.gov . Consultado el 25 de enero de 2021 .
- ^ "Asegurar un mundo móvil" (PDF) . Crosstalkonline.org . Consultado el 12 de junio de 2015 .
- ^ "[Parte 2] Código, coches y Congreso: un momento para la gestión de la cadena de suministro cibernético" . Consultado el 12 de junio de 2015 .
- ^ "Código, coches y congreso: un momento para la gestión de la cadena de suministro cibernética" . Consultado el 12 de junio de 2015 .
- ^ "Software Bill of Materials mejora la gestión de la propiedad intelectual" . Diseño de Computación Embebida . Consultado el 12 de junio de 2015 .
- ^ "Uso de Excel para la gestión de listas de materiales (BOM)" . Consultado el 2 de agosto de 2018 .
- ^ "Tipos de control de seguridad de software adecuados para proveedores de productos y servicios de terceros" (PDF) . Docs.ismgcorp.com . Consultado el 12 de junio de 2015 .
- ^ "Top 10 2013-A9-Using componentes con vulnerabilidades conocidas" . Consultado el 12 de junio de 2015 .
- ^ "Riesgos de ciberseguridad en la cadena de suministro" (PDF) . Cert.gov.uk . Consultado el 28 de julio de 2020 .
- ^ "HR5793 - 113 ° Congreso (2013-2014): Ley de transparencia y gestión de la cadena de suministro cibernético de 2014 - Congress.gov - Biblioteca del Congreso" . Consultado el 12 de junio de 2015 .
- ^ "Ley de mejora de la seguridad cibernética de Internet de las cosas de 2017" (PDF) . Consultado el 26 de febrero de 2020 .
- ^ "Ley de mejora de la ciberseguridad de 2017: el fantasma del pasado del Congreso" . Consultado el 26 de febrero de 2020 .