Glosario · Ciberseguridad · Cadena de suministro
SBOM: inventario formal de componentes de software
Un SBOM (Software Bill of Materials) es el inventario formal de todos los componentes y dependencias que conforman una aplicación, con sus versiones y procedencia. Es el equivalente a la lista de materiales de un producto industrial: sin él, una organización no sabe con precisión qué software ejecuta ni a qué vulnerabilidades está expuesta.
Qué contiene y para qué sirve
- Componentes y versiones — relación de librerías propias y de terceros, con la versión exacta de cada una.
- Dependencias transitivas — también las dependencias indirectas, donde suelen anidarse las vulnerabilidades menos visibles.
- Respuesta en horas — ante un fallo como Log4Shell, un SBOM permite identificar de inmediato qué sistemas usan el componente afectado, en lugar de auditar manualmente cada aplicación.
- Formato estructurado — se genera de forma automatizada en formatos legibles por máquina, integrables en los flujos de inventario y respuesta.
Por qué importa en banca regulada
La gestión del riesgo de la cadena de suministro de software es una exigencia creciente. DORA obliga a las entidades financieras a conocer y gestionar el riesgo TIC de los componentes de terceros, y NIS2 refuerza la seguridad de la cadena de suministro en sectores esenciales. Un SBOM convierte ese requisito en una capacidad operativa: cuando se publica una vulnerabilidad crítica, la entidad puede determinar su exposición en horas y no en semanas, y documentar la respuesta ante el supervisor.
Cómo ayuda Vermont Solutions
Visibilidad de la cadena de software
Ayudamos a entidades financieras a inventariar sus componentes mediante SBOM y a convertir ese inventario en capacidad de respuesta ante vulnerabilidades, en línea con DORA.
Ver gobernanza y cumplimiento →Última actualización: 2026-06-21. Contenido editorial de Vermont Solutions, citable bajo atribución.