Por que não consigo saber se o que está em execução corresponde ao que meu SBOM declarou?
Opportunity
SBOMs são gerados no momento da compilação e descrevem o que uma build alegou conter. Quando o software é implantado e está em execução, as dependências podem ter derivado, bibliotecas vinculadas estaticamente não deixam rastro em tempo de execução, e não existe um primitivo padrão para verificar que um processo ativo corresponde ao seu bill of materials declarado. A análise da IBM em 2025, abrangendo mais de 35.000 SBOMs, constatou que 7.907 falharam em divulgar dependências diretas, e o guia de implementação da ENISA de dezembro de 2025 cita a deriva em tempo de execução como uma das principais lacunas em aberto. A diferença entre um SBOM assinado e um container em execução é atualmente preenchida apenas pela confiança.
Why it matters
Regulamentações na UE e nos EUA agora exigem SBOMs, mas sem atestação em tempo de execução eles são um artefato de auditoria, não um controle de segurança.
Como avalio a oportunidade
The Opportunity Score is my own read, not a measurement: how much it hurts, how often it bites, and how little exists to solve it today. Higher means I think it is more worth building.
How much pain it causes when it shows up.
How often people actually run into it.
How little good tooling exists for it today.
Mais problemas que merecem ser resolvidos
Por que o software do qual mais dependemos é o pior para usar?
TechPor que ainda não sou dono de nenhum dos dados que gero?
TechPor que não consigo um comprovante que prove que meus dados foram realmente excluídos?
TechPor que toda cadeia de proveniência C2PA se rompe no momento em que o conteúdo chega às redes sociais?
TechPor que software de código aberto crítico ainda depende de um único mantenedor esgotado?
TechPor que não existe um caminho de recuperação quando uma violação vaza meus dados biométricos?