Requisitos de SBOM bajo la Ley de Ciberresiliencia de la UE: Guía práctica

La Lista de Materiales de Software (SBOM) se ha convertido en una piedra angular de la seguridad moderna de la cadena de suministro de software. Bajo la Ley de Ciberresiliencia de la UE (CRA), los SBOMs no son solo una mejor práctica, son un requisito regulatorio. Esta Guía explica lo Qué los fabricantes necesitan saber sobre el cumplimiento de SBOM bajo el CRA.

Lo Qué dice el CRA sobre los SBOMs

El CRA hace referencia a los SBOMs en varias areas clave:

Anexo I: Requisitos Esenciales

"Los fabricantes identificaran y documentaran las vulnerabilidades y componentes contenidos en los productos, incluyendo la elaboracion de una lista de materiales de software en un formato de uso comun y legible por maquina."

Esto significa:

• Los SBOMs son obligatorios, no opcionales
• Deben estar en formato legible por maquina (no PDFs ni hojas de calculo)
• Deben cubrir todos los componentes, incluidas las dependencias transitivas

Anexo VII: Documentación Tecnica

El expediente tecnico debe incluir informacion del SBOM Qué permita:

• Seguimiento de vulnerabilidades a nivel de componente
• Identificacion de proveedores
• Verificación de cumplimiento de licencias
• Planificación de fin de vida

Formatos de SBOM Aceptados

El CRA requiere formatos "de uso comun y legibles por maquina". En la práctica, esto significa:

Ambos formatos son aceptados, pero CycloneDX es cada vez mas preferido para casos de uso de seguridad debido a su soporte nativo para:

• Intercambio de Explotabilidad de Vulnerabilidades (VEX)
• Avisos de seguridad
• Grafos de dependencias

BSI TR-03183: El Estandar Aleman

La Oficina Federal de Seguridad de la Informacion de Alemania (BSI) ha publicado TR-03183, Qué proporciona requisitos detallados de calidad de SBOM Qué van mas alla del mínimo del CRA. Los requisitos clave incluyen:

Campos Obligatorios

• Nombre y version del componente
• Informacion del proveedor/fabricante
• Identificadores unicos (PURL, CPE)
• Relaciones de dependencia
• Informacion de licencias

Indicadores de Calidad

TR-03183 define niveles de calidad:

Aunque TR-03183 es un estandar aleman, se esta convirtiendo en el punto de referencia de calidad de facto para el cumplimiento del CRA en toda la UE.

Errores Comunes de SBOM a Evitar

1. Arboles de Dependencias Incompletos

Muchas herramientas solo capturan dependencias directas. El CRA requiere dependencias transitivas, componentes de los Qué dependen tus dependencias.

Tu Producto
├── Biblioteca A (directa) ✓
│   ├── Biblioteca B (transitiva) ← A menudo falta!
│   └── Biblioteca C (transitiva) ← A menudo falta!
└── Biblioteca D (directa) ✓

2. Informacion de Version Faltante

Un SBOM sin informacion de version precisa es casi inutil para la coincidencia de vulnerabilidades. Asegurate de Qué cada componente tenga:

• Numeros de version exactos (no rangos)
• Valores hash para componentes binarios
• Identificadores PURL cuando sea posible

3. SBOMs Desactualizados

Un SBOM generado en tiempo de compilacion pero nunca actualizado crea una falsa sensacion de seguridad. Implementa:

• Integración CI/CD para generacion automatica de SBOM
• Control de versiones para artefactos SBOM
• Deteccion regular de desviaciones entre compilaciones

4. Ignorar Firmware y Hardware

Para productos con componentes integrados, recuerda incluir:

• Versiones y componentes de firmware
• Lista de Materiales de Hardware (HBOM) cuando corresponda
• Componentes de bootloader y kernel

Gestion del Ciclo de Vida del SBOM

Una práctica de SBOM conforme requiere gestion continua:

Generacion

Codigo Fuente → Sistema de Compilacion → Generacion SBOM → Validacion

Integra la generacion de SBOM en tu pipeline CI/CD usando herramientas Cómo:

• Syft (CycloneDX/SPDX)
• Trivy (CycloneDX)
• cdxgen (CycloneDX)

Validacion

Antes de publicar, valida tu SBOM:

• Cumplimiento del esquema (CycloneDX/SPDX valido)
• Completitud (todos los componentes incluidos)
• Precision (las versiones coinciden con la realidad)

Almacenamiento y Acceso

Los SBOMs deben ser:

• Almacenados de forma segura con controles de acceso
• Retenidos durante el periodo de soporte del producto (mínimo 5 años bajo CRA)
• Accesibles para Evaluación de conformidad
• Disponibles para clientes downstream (para productos B2B)

Monitoreo Continuo

Vincula tu SBOM a bases de datos de vulnerabilidades:

• NVD (Base de Datos Nacional de Vulnerabilidades)
• OSV (Vulnerabilidades de Codigo Abierto)
• Base de Datos de Avisos de GitHub
• CISA KEV (Vulnerabilidades Conocidas Explotadas)

Pasos Practicos para Comenzar

1. Audita tu estado actual: ¿Generas SBOMs hoy? ¿Qué formato? ¿Qué cobertura?

2. Elige tu formato: CycloneDX para enfoque en seguridad, SPDX para cumplimiento de licencias (o ambos)

3. Automatiza la generacion: Integra en CI/CD, no procesos manuales

4. Valida la calidad: Verifica contra los requisitos de TR-03183

5. Implementa monitoreo: Vincula SBOMs al escaneo de vulnerabilidades

6. Planifica actualizaciones: Establece procesos para mantenimiento de SBOM

Cómo Ayuda CRA Evidence

CRA Evidence proporciona gestion integral de SBOM:

• Carga y Validacion: Soporte para CycloneDX y SPDX con puntuacion de calidad TR-03183
• Escaneo de Vulnerabilidades: Coincidencia automatica contra NVD, OSV y otras bases de datos
• Seguimiento de Versiones: Historial de SBOM y deteccion de desviaciones entre versiones de producto
• Exportacion: Incluye SBOMs validados en tu expediente tecnico Anexo VII

Tener bien tu práctica de SBOM es fundamental para el cumplimiento del CRA. Comienza a construir estas capacidades ahora para estar listo para la fecha límite de 2027.

Guias Relacionadas

Generacion: Aprende a automatizar la creacion de SBOM en nuestra guia de generacion de SBOM.

Calidad: Comprende los requisitos de calidad de SBOM en nuestra guia BSI TR-03183.

VEX: Complementa tu SBOM con datos de vulnerabilidades usando documentos VEX.

Expediente Tecnico: Descubre como los SBOMs encajan en el expediente tecnico CRA (Anexo VII).

Este articulo es solo para fines informativos y no constituye asesoramiento legal. Para orientacion especifica sobre cumplimiento, consulta con un abogado cualificado.