Glossário · Cibersegurança · Cadeia de fornecimento
SBOM: inventário formal de componentes de software
Um SBOM (Software Bill of Materials) é o inventário formal de todos os componentes e dependências que compõem uma aplicação, com as suas versões e proveniência. É o equivalente à lista de materiais de um produto industrial: sem ele, uma organização não sabe com precisão que software executa nem a que vulnerabilidades está exposta.
O que contém e para que serve
- Componentes e versões — relação de bibliotecas próprias e de terceiros, com a versão exata de cada uma.
- Dependências transitivas — também as dependências indiretas, onde costumam aninhar-se as vulnerabilidades menos visíveis.
- Resposta em horas — perante uma falha como o Log4Shell, um SBOM permite identificar de imediato que sistemas usam o componente afetado, em vez de auditar manualmente cada aplicação.
- Formato estruturado — gera-se de forma automatizada em formatos legíveis por máquina, integráveis nos fluxos de inventário e resposta.
Por que razão importa na banca regulada
A gestão do risco da cadeia de fornecimento de software é uma exigência crescente. O DORA obriga as entidades financeiras a conhecer e gerir o risco TIC dos componentes de terceiros, e o NIS2 reforça a segurança da cadeia de fornecimento em setores essenciais. Um SBOM transforma esse requisito numa capacidade operacional: quando é publicada uma vulnerabilidade crítica, a entidade pode determinar a sua exposição em horas e não em semanas, e documentar a resposta perante o supervisor.
Como ajuda a Vermont Solutions
Visibilidade da cadeia de software
Ajudamos as entidades financeiras a inventariar os seus componentes através de SBOM e a transformar esse inventário em capacidade de resposta perante vulnerabilidades, em linha com o DORA.
Ver governação e conformidade →Última atualização: 2026-06-21. Conteúdo editorial da Vermont Solutions, citável mediante atribuição.