Lista de materiales de software (SBOM)
Un registro formal de los componentes, bibliotecas y módulos contenidos en un producto de software, elaborado en un formato de uso común y legible por máquina. En virtud del Anexo I, Parte II del CRA, los fabricantes deben producir un SBOM que cubra al menos las dependencias de primer nivel de su producto.
Citas de fuentes
Texto reglamentario
El Anexo I, Parte II, punto 1 del Reglamento (UE) 2024/2847 exige a los fabricantes:
«elaborar y mantener una lista de materiales de software en un formato de uso común y legible por máquina que cubra al menos las dependencias de primer nivel del producto».
Formato y contenido
El CRA no prescribe un formato SBOM específico, pero la expresión «formato de uso común y legible por máquina» orienta hacia estándares establecidos como:
- SPDX (ISO/IEC 5962:2021)
- CycloneDX
El contenido mínimo abarca las dependencias de primer nivel — los paquetes que el fabricante incluye directamente, no necesariamente las dependencias transitivas, aunque estas son recomendables.
Divulgación del SBOM
El CRA no exige que el SBOM sea público. Los fabricantes deben:
- Conservarlo durante el período de soporte
- Proporcionarlo a las autoridades de vigilancia del mercado previa solicitud motivada
Se alienta una divulgación más amplia, pero queda a discreción del fabricante.