top of page

INTRODUCCIÓN AL SOFTWARE BILL OF MATERIALS (SBOM)

Introducción al Software Bill of Materials (SBOM): Texto
code-1839406_1920.jpg
Introducción al Software Bill of Materials (SBOM): Imagen

Introducción

Todos, en mayor o menor medida, conocemos - y disfrutamos - de los beneficios de la tecnología informática. Pero también sufrimos la otra cara: su vulnerabilidad. No hay dia que no leamos o escuchemos sobre algún incidente relacionado con la ciberseguridad. Hackeos, ransomware o guerra cibernetica son solo algunos de los conceptos mas comunes relacionados con la seguridad informática. Y en gran medida esta actividad criminal es posible gracias a los defectos y vulnerabilidades de los programas y aplicaciones.

Para evitar - o al menos mitigar - esos defectos, los desarrolladores y creadores de software tienen una poderosa herramienta a su disposición: el SBOM o Software Bill of Materials.

Introducción al Software Bill of Materials (SBOM): Texto

Concepto y Utilidad del SBOM

¿Pero que es el SBOM y porque puede ayudar a tener aplicaciones informáticas mas seguras? El SBOM es un registro que contiene el detalle y las relaciones jerárquicas de los componentes usados en el desarrollo de un software dado. Si se quiere, puede verse como un inventario de las partes que forman un programa o aplicación determinado, que origen tiene, que licenciamiento tienen y como se relacionan entre ellas. En un SBOM, cada componente está univocamente identificado y de que manera se relaciona con los componentes ascendentes y descendentes en la cadena de suministro.

El beneficio de contar con el SBOM es doble. Por un lado, como decimos en la introducción, si no se conocen que componentes están presentes en un desarrollo determinado, no se sabe que se necesita patchear, ya sea porque ese trozo de código contiene un error humano que lo volvió vulnerable o directamente fue programado para ser malicioso. Entonces, si sabemos como esta integrado el programa o aplicación permite al desarrollador ahorrarse el análisis de los riesgos asi como en el proceso de solución de las vulnerabilidades.

Por otra parte, el SBOM ataca otro problema que suelen tener los programas y aplicaciones construidos con componentes obtenidos desde repositorios de programación, en especial cuando son open-source o de código abierto: su licenciamiento. La cuestión pasa porque no todos los tipos de licencias open-source son iguales. Si bien la base de todas es similar - la libre modificación del código fuente, los derechos de distribución del programa derivado no lo son. Además, en caso de incorporar en el programa o aplicación código propietario, pues el panorama se complica. Pues bien, el SBOM identifica que licencia cubre cada componente del programa o aplicacion, lo que evita problemas comerciales y legales a futuro relacionados con el licenciamiento de ese desarrollo.

Es importante destacar que el SBOM no es un registro necesario solo para las grandes empresas. Todo desarrollador de software, sin importar su tamaño, debería generarlo para sus productos. De hecho, organizaciones como la Software Transparency Foundation, ponen a disposición herramientas gratuitas de código abierto para generar y validar el SBOM; por lo que el costo no debería ser un impedimento para startups y PyMES.

Introducción al Software Bill of Materials (SBOM): Texto

A Modo de Conclusión...

Tal como dijimos al principio, el Software Bill of Materials no resolverá todos los problemas de seguridad de un programa informático, pero resulta una herramienta fundamental a la hora de implementar practicas de seguridad sobre el software desarrollado en la organización; asi como para asegurar su correcto licenciamiento.

Introducción al Software Bill of Materials (SBOM): Texto
bottom of page