¿Qué es un SBOM y por qué es tan importante este año?

 Por Ian Barker

En este momento, el tema principal de conversación en boca de todos es la IA. Por supuesto, es una época de inmensos cambios, especialmente para los desarrolladores que crean aplicaciones utilizando técnicas RAD. Pero este año también introduce algo a lo que absolutamente debes prestar atención, ahora mismo: la nueva legislación de seguridad obligatoria. 

Esta viene en forma de la Ley de Ciberresiliencia (Cyber Resilience Act), más comúnmente conocida como CRA, y la Ley de Resiliencia Operativa Digital (Digital Operational Resilience Act), conocida como DORA (nada que ver con la serie de dibujos animados del mismo nombre). Esto llega justo después de algunos nuevos y significativos requisitos para la verificación de edad obligatoria en aplicaciones de iOS y Android. Más sobre esto en un momento.

Índice de Contenidos

  • ¿Qué es un SBOM?
  • Ser un software gratuito o de código abierto no te exime de responsabilidad o posibles sanciones
  • ¿Qué sigue para los usuarios de Notepad++?
  • ¡Próximos seminarios web sobre seguridad y el 31.º aniversario de Delphi!
  • Uso del análisis de SBOM de DerScanner
  • ¿Dónde puedo ver la repetición del seminario web "¿Qué es un SBOM"?

¿Qué es un SBOM?

La sigla SBOM significa "software bill of materials" (lista de materiales de software), un informe estandarizado que enumera las partes de los componentes de un producto, incluido su tipo de licencia y versión. Es un requisito tenerlo a mano para los clientes que lo soliciten, específicamente en la Unión Europea. En realidad, es un archivo bastante simple, en formato JSON, que contiene algunos detalles breves de los elementos que conforman el software.

El formato de un archivo SBOM está establecido y formalizado en https://cisa.gov/sbom y por el NIST (enlace PDF).

Existen varios otros marcos legales en diversos países que hacen referencia a los requisitos de SBOM, como la Organización Internacional de Normalización (ISO): https://iso.org/standard/81870.html

Considerándolo todo, ya sea que te encuentres en los EE. UU. o en Europa, o que produzcas software que se utilizará en alguna de esas regiones, es muy probable que SCA, DORA y SBOM sean términos que debas entender, evaluando además las implicaciones respecto a tu propio cumplimiento normativo.

Ser un software gratuito o de código abierto no te exime de responsabilidad o posibles sanciones

No existen distinciones o concesiones en las diversas regulaciones para los autores de software gratuito o de código abierto. Si no cumples, puedes enfrentarte a consecuencias bastante desagradables. Además, los piratas informáticos y otros delincuentes no tienen absolutamente ninguna compasión por ti. Cuando llegas a la portada de la revista Wired, quieres que sea por los motivos correctos, no porque te hayas convertido en un peón involuntario en un juego de ajedrez de guerra cibernética.

Me entristeció mucho ver que el maravilloso proyecto de Notepad++ fue horriblemente abusado por "hackers patrocinados por el estado". En otras palabras, guerra cibernética. Don Ho, el autor de Notepad++, ha estado publicando actualizaciones, pero, según él, el mecanismo de actualización de Notepad++ fue completamente abusado, comprometido e infectado por piratas informáticos respaldados por el gobierno durante el período de junio a diciembre de 2025. La actualización de Don explica qué sucedió y cómo (y un SBOM no habría hecho ninguna diferencia), y sí intenta explicar el papel que jugó su antiguo proveedor de alojamiento web en el ataque. Dicho esto, dada la enorme cantidad de usuarios de Notepad++, incluso si un porcentaje muy pequeño decide demandar, sería irrelevante si ganan o no: los costos de defender lo que equivaldría a cientos de casos legales probablemente alterarían su vida de manera brutal.

Don es un buen tipo, un desarrollador como tú y yo, y no merecía la atención de un ataque de troyano/virus patrocinado por el estado (¿quién la merece?), pero su situación es una llamada de atención para todos nosotros, y se suma a la maduración de este año de los requisitos legales de composición de software y la tendencia hacia cada vez más legislación gubernamental al respecto.

¿Qué sigue para los usuarios de Notepad++?

Este tipo de ataque a la cadena de suministro se está volviendo cada vez más común. La empresa hermana UltraEdit experimentó un incidente similar en el que casi se ven afectados hace casi dos décadas, antes de que Idera comprara la empresa. Así que han sentido ese terrible golpe en el estómago que es ser atacado por hackers profesionales empeñados en usarte para infectar a tus usuarios, y esto los obligó a reevaluar por completo cómo abordaban la seguridad. Estoy seguro de que esto también pondrá a Don Ho en un estado de ánimo similar y que eventualmente logrará salir de los escombros que los hackers derribaron sobre el proyecto de Notepad++.

Ahora UltraEdit se enfoca completamente en la seguridad como el núcleo central de lo que hacen. La mejor lección suele ser la más dura y dolorosa, por indeseable que sea. Esta semana hemos tenido a un grupo de nuestros MVP (Profesionales Más Valiosos) cambiando de Notepad++ a UltraEdit (reciben licencias de cortesía). Una situación triste para Notepad++.

¡Próximos seminarios web sobre seguridad y el 31.º aniversario de Delphi!

Por suerte, ya habíamos planeado seminarios web específicos sobre seguridad. DerScanner, uno de nuestros socios tecnológicos, había cerrado un acuerdo con nosotros a fines del año pasado (mucho antes de la noticia de la infección de Notepad++). Tenemos otro seminario web centrado en la seguridad planificado para el 6 de marzo en el que exploraremos toda una colección de otros programas de seguridad y cumplimiento normativo dirigidos especialmente a Delphi y C++Builder. También echaremos un vistazo a las nuevas características de InterBase 15 para respaldar el cumplimiento de FIPs, entre otras cosas.

¿Dónde puedo ver la repetición del seminario web "¿Qué es un SBOM"?

Aquí está la repetición completa del seminario web de seguridad sobre SBOM en vivo con Valerie Kim de Der Scanner.




Reduce el tiempo de desarrollo y llega más rápido al mercado con RAD Studio, Delphi o C++Builder.
Diseña. Codifica. Compila. Implementa.

Comentarios

Publicar un comentario

Entradas populares de este blog

Aprenda las diferencias: texto enriquecido vs. Texto sin formato

Imagen
  Tanto el formato de texto enriquecido como el de texto sin formato son bastante antiguos y se han utilizado durante muchos años para crear documentos. Ambos formatos son muy populares y editables por la mayoría de los programas de procesamiento. Sin embargo, muchas personas suelen preguntarse cuáles son sus principales diferencias. Hemos compilado esta guía completa para explicar las diferencias entre texto enriquecido y texto sin formato. También hemos resumido sus ventajas y desventajas y enumerado situaciones en las que preferiría un formato sobre el otro. Se pueden utilizar muchos editores para crear tanto texto enriquecido como texto sin formato. Esto no solo incluye procesadores de texto, sino también editores de texto enriquecido de JavaScript.   Tabla de contenido   Texto enriquecido frente a texto sin formato: ¿Qué es el texto sin formato? ¿Por qué debería usar archivos de texto sin formato o txt? ¿Por qué los archivos de texto sin formato son rápid...
Leer más

Delphi en 2025: ¿Por qué sigue siendo clave en entornos empresariales?

Imagen
En un panorama tecnológico dominado por frameworks nuevos cada año, muchos se sorprenden al descubrir que Delphi sigue más vigente que nunca en 2025. Con más de tres décadas de historia, este entorno de desarrollo no solo ha resistido el paso del tiempo, sino que se ha adaptado para responder a las necesidades modernas de las empresas que buscan productividad, estabilidad y multiplataforma real. 1. Productividad sin fricción Una de las principales razones por las que Delphi mantiene su relevancia es su velocidad de desarrollo. Las empresas no solo buscan código eficiente, sino también tiempos de entrega más cortos. Delphi permite crear aplicaciones complejas con menos líneas de código que otros entornos, gracias a su lenguaje fuertemente tipado (Object Pascal) y su entorno RAD (Rapid Application Development), que sigue siendo un referente en cuanto a productividad. El resultado: los equipos entregan proyectos robustos, con menos errores y en menor tiempo, lo que se traduce directamente...
Leer más

Construye tu aplicación en minutos con Sencha Ext JS y RAD Server

Imagen
¡Bienvenidos Devs! Hoy nos complace compartir los momentos destacados de nuestro último Sencha Café, un webinar mensual donde exploramos las últimas tendencias y herramientas en el mundo de Sencha. En nuestra edición más reciente, nos sumergimos en el emocionante universo de Sencha Ext JS junto con un invitado muy especial, Eliseo González, experto en Rad Server. El tema principal de nuestro encuentro fue la integración de Rad Server con Sencha Ext JS para potenciar nuestras aplicaciones. Eliseo nos guió a través de los detalles y beneficios de Rad Server, demostrando cómo podemos construir nuestro backend de manera rápida y eficiente utilizando esta poderosa herramienta. Desde la generación de endpoints hasta la gestión de datos, Eliseo nos mostró cómo podemos crear una base sólida para nuestras aplicaciones en minutos. Luego, tuvimos el placer de recibir a Andrés Villalba, Sales Engineer de Sencha, quien nos brindó una demostración práctica de cómo aprovechar este backend con Sencha ...
Leer más