Saltar al contenido principal
Vermont Solutions

Glosario · Ciberseguridad · Cadena de suministro

SBOM: inventario formal de componentes de software

Un SBOM (Software Bill of Materials) es el inventario formal de todos los componentes y dependencias que conforman una aplicación, con sus versiones y procedencia. Es el equivalente a la lista de materiales de un producto industrial: sin él, una organización no sabe con precisión qué software ejecuta ni a qué vulnerabilidades está expuesta.

Qué contiene y para qué sirve

  • Componentes y versiones — relación de librerías propias y de terceros, con la versión exacta de cada una.
  • Dependencias transitivas — también las dependencias indirectas, donde suelen anidarse las vulnerabilidades menos visibles.
  • Respuesta en horas — ante un fallo como Log4Shell, un SBOM permite identificar de inmediato qué sistemas usan el componente afectado, en lugar de auditar manualmente cada aplicación.
  • Formato estructurado — se genera de forma automatizada en formatos legibles por máquina, integrables en los flujos de inventario y respuesta.

Por qué importa en banca regulada

La gestión del riesgo de la cadena de suministro de software es una exigencia creciente. DORA obliga a las entidades financieras a conocer y gestionar el riesgo TIC de los componentes de terceros, y NIS2 refuerza la seguridad de la cadena de suministro en sectores esenciales. Un SBOM convierte ese requisito en una capacidad operativa: cuando se publica una vulnerabilidad crítica, la entidad puede determinar su exposición en horas y no en semanas, y documentar la respuesta ante el supervisor.

Cómo ayuda Vermont Solutions

Visibilidad de la cadena de software

Ayudamos a entidades financieras a inventariar sus componentes mediante SBOM y a convertir ese inventario en capacidad de respuesta ante vulnerabilidades, en línea con DORA.

Ver gobernanza y cumplimiento →

Fuentes

Última actualización: 2026-06-21. Contenido editorial de Vermont Solutions, citable bajo atribución.