Glossario · Cybersecurity · Catena di fornitura
SBOM: inventario formale dei componenti software
Un SBOM (Software Bill of Materials) è l'inventario formale di tutti i componenti e le dipendenze che costituiscono un'applicazione, con le rispettive versioni e provenienza. È l'equivalente della distinta base di un prodotto industriale: senza di esso, un'organizzazione non sa con precisione quale software esegue né a quali vulnerabilità è esposta.
Cosa contiene e a cosa serve
- Componenti e versioni — elenco delle librerie proprie e di terze parti, con la versione esatta di ciascuna.
- Dipendenze transitive — anche le dipendenze indirette, dove tendono ad annidarsi le vulnerabilità meno visibili.
- Risposta in poche ore — di fronte a un difetto come Log4Shell, un SBOM consente di individuare immediatamente quali sistemi utilizzano il componente interessato, anziché auditare manualmente ogni applicazione.
- Formato strutturato — viene generato in modo automatizzato in formati leggibili dalla macchina, integrabili nei flussi di inventario e di risposta.
Perché conta nel settore bancario regolamentato
La gestione del rischio della catena di fornitura del software è un requisito sempre più stringente. DORA obbliga le entità finanziarie a conoscere e gestire il rischio ICT dei componenti di terze parti, e NIS2 rafforza la sicurezza della catena di fornitura nei settori essenziali. Un SBOM trasforma tale requisito in una capacità operativa: quando viene pubblicata una vulnerabilità critica, l'entità può determinare la propria esposizione in poche ore anziché in settimane, e documentare la risposta all'autorità di vigilanza.
Come aiuta Vermont Solutions
Visibilità della catena del software
Aiutiamo le entità finanziarie a inventariare i propri componenti mediante SBOM e a trasformare tale inventario in capacità di risposta alle vulnerabilità, in linea con DORA.
Scopri governance e conformità →Ultimo aggiornamento: 2026-06-21. Contenuto editoriale di Vermont Solutions, citabile con attribuzione.