Compartir comentarios
Las respuestas se generan en base a la documentación.

Lista de materiales de software (SBOM)

Tabla de contenidos

¿Qué es una SBOM?

Una SBOM (Software Bill of Materials) es un inventario detallado que detalla todos los componentes, librerías y dependencias utilizados en la construcción de una aplicación de software. Proporciona transparencia en la cadena de suministro de software al documentar la versión, el origen y la relación de cada componente con otros. Piénsalo como una "receta" de tu software, que detalla cada ingrediente y cómo se combinan.

Los metadatos incluidos en una SBOM para describir los artefactos de software pueden incluir:

  • Nombre del artefacto
  • Versión
  • Tipo de licencia
  • Autores
  • Identificador único de paquete

¿Por qué son importantes las SBOM?

En el panorama de software actual, las aplicaciones suelen constar de numerosos componentes de diversas fuentes, como librerías de código abierto, servicios de terceros y código propietario. Esta complejidad puede dificultar la visibilidad de posibles vulnerabilidades y complicar las tareas de cumplimiento. Las SBOM abordan estos desafíos al proporcionar un inventario detallado de todos los componentes dentro de una aplicación.

La importancia de las SBOM se ve reforzada por varios factores clave:

  • Mayor transparencia: Las SBOM ofrecen una visión completa de todos los componentes que constituyen una aplicación, lo que permite a las organizaciones identificar y evaluar los riesgos asociados con las librerías y dependencias de terceros.

  • Gestión proactiva de vulnerabilidades: Al mantener una SBOM actualizada, las organizaciones pueden identificar y solucionar rápidamente las vulnerabilidades en los componentes de software, reduciendo el margen de exposición a posibles exploits.

  • Cumplimiento regulatorio: Muchas regulaciones y estándares de la industria ahora requieren que las organizaciones mantengan el control sobre los componentes de software que utilizan. Una SBOM facilita el cumplimiento al proporcionar un registro claro y accesible.

  • Respuesta a incidentes mejorada: En caso de una brecha de seguridad, una SBOM permite a las organizaciones identificar rápidamente los componentes afectados y tomar las medidas adecuadas, minimizando el daño potencial.

Las SBOM de las Docker Hardened Images

Las Docker Hardened Images vienen con SBOM integradas, lo que garantiza que cada componente de la imagen esté documentado y sea verificable. Estas SBOM están firmadas criptográficamente, lo que proporciona un registro resistente a manipulaciones del contenido de la imagen. Esta integración facilita las auditorías y mejora la confianza en la cadena de suministro de software.

Visualizar las SBOM en las Docker Hardened Images

Para ver la SBOM de una Docker Hardened Image, puedes utilizar el comando docker scout sbom. Reemplaza <image-name>:<tag> con el nombre y la etiqueta de la imagen.

$ docker scout sbom dhi.io/<image-name>:<tag>

Verificar la SBOM de una Docker Hardened Image

Dado que las Docker Hardened Images vienen con SBOM firmadas, puedes utilizar Docker Scout para verificar la autenticidad e integridad de la SBOM adjunta a la imagen. Esto garantiza que la SBOM no haya sido manipulada y que el contenido de la imagen sea confiable.

Para verificar la SBOM de una Docker Hardened Image utilizando Docker Scout, utiliza el siguiente comando:

$ docker scout attest get dhi.io/<image-name>:<tag> \
   --predicate-type https://scout.docker.com/sbom/v0.1 --verify --platform <platform>

Por ejemplo, para verificar la atestación SBOM de la imagen node:20.19-debian12:

$ docker scout attest get dhi.io/node:20.19-debian12 \
   --predicate-type https://scout.docker.com/sbom/v0.1 --verify --platform linux/amd64

Recursos

Para obtener más detalles sobre las atestaciones SBOM y Docker Build, consulta Atestaciones SBOM.

Para obtener más información sobre Docker Scout y cómo trabajar con SBOM, consulta SBOM de Docker Scout.