Pular para o conteúdo principal
Vermont Solutions

Glossário · Cibersegurança · Cadeia de fornecimento

SBOM: inventário formal de componentes de software

Um SBOM (Software Bill of Materials) é o inventário formal de todos os componentes e dependências que compõem uma aplicação, com as suas versões e proveniência. É o equivalente à lista de materiais de um produto industrial: sem ele, uma organização não sabe com precisão que software executa nem a que vulnerabilidades está exposta.

O que contém e para que serve

  • Componentes e versões — relação de bibliotecas próprias e de terceiros, com a versão exata de cada uma.
  • Dependências transitivas — também as dependências indiretas, onde costumam aninhar-se as vulnerabilidades menos visíveis.
  • Resposta em horas — perante uma falha como o Log4Shell, um SBOM permite identificar de imediato que sistemas usam o componente afetado, em vez de auditar manualmente cada aplicação.
  • Formato estruturado — gera-se de forma automatizada em formatos legíveis por máquina, integráveis nos fluxos de inventário e resposta.

Por que razão importa na banca regulada

A gestão do risco da cadeia de fornecimento de software é uma exigência crescente. O DORA obriga as entidades financeiras a conhecer e gerir o risco TIC dos componentes de terceiros, e o NIS2 reforça a segurança da cadeia de fornecimento em setores essenciais. Um SBOM transforma esse requisito numa capacidade operacional: quando é publicada uma vulnerabilidade crítica, a entidade pode determinar a sua exposição em horas e não em semanas, e documentar a resposta perante o supervisor.

Como ajuda a Vermont Solutions

Visibilidade da cadeia de software

Ajudamos as entidades financeiras a inventariar os seus componentes através de SBOM e a transformar esse inventário em capacidade de resposta perante vulnerabilidades, em linha com o DORA.

Ver governação e conformidade →

Fuentes

Última atualização: 2026-06-21. Conteúdo editorial da Vermont Solutions, citável mediante atribuição.