La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha publicado la tercera edición de Framing Software Component Transparency, un documento clave destinado a mejorar la claridad y el uso de la Lista de materiales de software (SBOM). Esta última versión, desarrollada por el Grupo de Trabajo de Implementación y Herramientas SBOM de CISA, presenta pautas refinadas sobre la creación de SBOM y la identificación de componentes de software. Estas actualizaciones están destinadas a ayudar a las organizaciones a abordar los crecientes desafíos de la transparencia y la seguridad de la cadena de suministro de software. Nueva guía sobre la creación de SBOM La tercera edición de Framing Software Component Transparency amplía la edición de 2021 al definir con más detalle los atributos esenciales de SBOM. Estos atributos están organizados en tres niveles (mínimo esperado, prácticas recomendadas y objetivos aspiracionales), ofreciendo a las organizaciones un marco claro para gestionar los componentes de software. CISA dijo que la guía es crucial para identificar y rastrear vulnerabilidades de software, optimizar la respuesta a incidentes y reducir los riesgos dentro de cadenas de suministro de software cada vez más complejas. El informe enfatiza que simplemente incluir información de referencia en un SBOM es insuficiente para abordar todos los casos de uso. A medida que crezca el uso de SBOM, las organizaciones necesitarán adoptar prácticas más avanzadas para compartir y gestionar estos datos. Estos esfuerzos son vitales a medida que las empresas globales enfrentan crecientes desafíos operativos y de seguridad de la cadena de suministro debido a la visibilidad limitada de los componentes de software implementados en sus entornos. Lea más: Aprovechar la confianza y la visibilidad para cumplir con las nuevas regulaciones cibernéticas de la UE Los SBOM ofrecen un modelo armonizado para aumentar la automatización de la ciberseguridad y mejorar la transparencia general. Importancia de los atributos básicos de los SBOM Para facilitar una rápida adopción, el informe también define un conjunto de atributos básicos necesarios para que los SBOM sean útiles. Estos atributos se alinean con formatos existentes como SPDX y CycloneDX, lo que permite identificar y vincular de forma única los componentes de software en las cadenas de suministro. Al garantizar este nivel básico de transparencia, las organizaciones pueden gestionar mejor la seguridad, rastrear vulnerabilidades e implementar mitigaciones. El documento también destaca la necesidad de datos más sólidos para respaldar una variedad de casos de uso identificados, incluida una mejor gestión de activos y propiedad intelectual. Los SBOM y el futuro de la seguridad de la cadena de suministro de software Las nuevas directrices de CISA llegan en un momento crítico en el que las organizaciones de todo el mundo se enfrentan a riesgos cada vez mayores en la cadena de suministro de software. La falta de visibilidad de los componentes del software ha dejado sin respuesta muchas preguntas sobre las vulnerabilidades conocidas. Se espera que el establecimiento de formatos SBOM estandarizados aborde estas brechas, permitiendo a las organizaciones de usuarios finales y proveedores de software monitorear y administrar la seguridad de sus redes de manera más efectiva. La evolución continua de los SBOM dependerá del desarrollo de métodos coordinados para compartir datos de SBOM y la disponibilidad de herramientas automatizadas para respaldar su creación y uso. A medida que las organizaciones adoptan SBOM, la nueva guía de CISA tiene como objetivo garantizar que la información crítica se capture e intercambie de manera eficiente, lo que lleva a una mejor gestión de activos, seguimiento de vulnerabilidades y gestión general de riesgos.