La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha emitido una solicitud de comentarios sobre una versión actualizada de una guía gubernamental que enumera los elementos mínimos requeridos para una factura de materiales de software (SBOM). Un SBOM es un documento legible por máquina que enumera todos los paquetes de software una organización, o una unidad comercial única, usos y sus dependencias, es decir, otros elementos en los que se basa el software enumerado, incluidos los ladrillos de código abierto. En 2021, la Administración Nacional de Telecomunicaciones e Información de los Estados Unidos (NTIA) publicó un documento, 2021 elementos mínimos de NTIA SBOM, para ayudar a las agencias federales y las empresas estadounidenses a construir su propia SBOM. Este documento fue dirigido por la orden ejecutiva del presidente Biden en mayo de 2021 sobre la mejora de la ciberseguridad de la nación (EO 14028). En septiembre de 2022, la Casa Blanca publicó una nueva orden ejecutiva que requería que los proveedores de software que suministran al gobierno de los Estados Unidos proporcionen una SBOM. El objetivo era garantizar que todas las empresas en la cadena de suministro que proporcionan al gobierno de los Estados Unidos software y servicios estén suficientemente protegidos contra los ataques cibernéticos. En ese momento, la decisión provocó controversia, con una coalición de asociaciones de la industria de la ciberseguridad que publicaba una carta abierta instando al Congreso de los Estados Unidos a retrasar los requisitos de SBOM para los contratistas de defensa, argumentando que el ecosistema no era lo suficientemente maduro. En septiembre de 2022, la Oficina de Gestión y Presupuesto emitió Memorando M-22-18, «Mejora de la seguridad de la cadena de suministro de software a través de prácticas seguras de desarrollo de software», lo que indicó que CISA produciría orientación sucesora de los elementos mínimos de 2021 NTIA SBOM. Los cambios en el paisaje de SBOM de 2021 a 2025, la actividad reciente parece sugerir un cambio de estrategia con respecto a la promoción de SBOMS bajo la administración Trump. Primero, Allan Friedman, uno de los defensores de SBOM más activos que había estado liderando los esfuerzos de SBOM de la CISA desde agosto de 2021, dejó la agencia a fines de julio de 2025. A principios de agosto, la Fundación de Seguridad de Open Source (OpenSSF) anunció que el Grupo de Trabajo de SBOM de CISA también estaba cerrando y que la Fundación «recogería el Torch» y el lanzamiento de su sucesor. Sin embargo, hasta la fecha, CISA no ha confirmado públicamente el cierre del Grupo de Trabajo SBOM de CISA. CISA también ha anunciado que tiene la intención de lanzar una versión actualizada de los elementos mínimos 2021 NTIA SBOM para «reflejar mejoras en las herramientas de SBOM y una mayor madurez de la implementación de SBOM». «Por ejemplo, el panorama de SBOM Tooling se ha expandido más allá de la generación de SBOM para incluir, entre otras capacidades, compartir, analizar y administrar SBOM», explicó CISA. La comunidad de SBOM ha crecido significativamente desde 2021, con nuevos actores y una participación más fuerte de la comunidad de código abierto en el desarrollo y mejora de la generación y adopción de SBOM. CISA ahora está buscando participación pública para ayudar a la agencia a desarrollar una nueva guía, afirmando que todos los miembros del público, incluidos, entre otros, especialistas en el campo, expertos académicos, industria, grupos de interés público y aquellos con experiencia económica relevante, están invitados a comentar. Las partes interesadas tienen hasta el 3 de octubre de 2025 para contribuir.