¿Por qué no puedo saber si lo que está en ejecución coincide con lo que declaró mi SBOM?
Oportunidad
Los SBOMs se generan en tiempo de compilación y describen lo que una compilación declaraba contener. Para cuando el software se despliega y está en ejecución, las dependencias pueden haber derivado, las bibliotecas enlazadas estáticamente no dejan rastro en tiempo de ejecución, y no existe ningún primitivo estándar para verificar que un proceso activo coincida con su lista de materiales declarada. El análisis de IBM de 2025 sobre más de 35.000 SBOMs encontró que 7.907 no revelaban dependencias directas, y la guía de implementación de ENISA de diciembre de 2025 señala la deriva en tiempo de ejecución como una de las brechas abiertas principales. La brecha entre un SBOM firmado y un contenedor en ejecución se salva actualmente solo mediante confianza.
Por qué importa
Las regulaciones en la UE y en EE. UU. exigen ahora los SBOMs, pero sin atestación en tiempo de ejecución son un artefacto de auditoría, no un control de seguridad.
Cómo evalúo la oportunidad
La Puntuación de Oportunidad es mi propia lectura, no una medición: cuánto duele, con qué frecuencia aparece y qué tan poco existe para resolverlo hoy. Un valor más alto significa que creo que vale más la pena construirlo.
Cuánto dolor causa cuando aparece.
Con qué frecuencia la gente se topa con ello.
Qué tan pocas herramientas buenas existen para ello hoy.
Más problemas que vale la pena resolver
¿Por qué el software del que más dependemos es el peor de usar?
Tech¿Por qué sigo sin ser dueño de ninguno de los datos que genero?
Tech¿Por qué no puedo obtener un comprobante que demuestre que mis datos fueron realmente eliminados?
Tech¿Por qué toda cadena de procedencia C2PA se rompe en el momento en que el contenido llega a las redes sociales?
Tech¿Por qué el software crítico de código abierto sigue dependiendo de un único mantenedor agotado?
Tech¿Por qué no existe una vía de recuperación cuando una filtración expone mis datos biométricos?