CycloneDX
5.2.3 CycloneDX
CycloneDX de OWASP es un estándar completo de Lista de Materiales (BOM) que proporciona capacidades avanzadas para la cadena de suministro con el fin de reducir el riesgo cibernético. Este proyecto es uno de los proyectos insignia de OWASP.
¿Qué es CycloneDX?
CycloneDX es un estándar ampliamente utilizado para varios tipos de Listas de Materiales. Proporciona a la cadena de suministro de una organización la reducción de riesgos de seguridad del software. La especificación provee:
- Lista de Materiales de Software (SBOM)
- Lista de Materiales de Software como Servicio (SaaSBOM)
- Lista de Materiales de Hardware (HBOM)
- Lista de Materiales de Machine-learning (ML-BOM)
- Lista de Materiales de Fabricación (MBOM)
- Lista de Materiales de Operaciones (OBOM)
- Lista de Vulnerabilidades (BOV)
- Informes de Divulgación de Vulnerabilidades (VDR)
- Intercambio de Explotabilidad de Vulnerabilidades (VEX)
- Formato común para Notas de Lanzamiento
- Sintaxis para Vinculación de Lista de Materiales (BOM-Link)
El proyecto CycloneDX proporciona estándares en XML, JSON y Protocol Buffers. Existe una gran colección de herramientas oficiales y respaldadas por la comunidad que consumen y crean BOMs de CycloneDX o interoperan con el estándar CycloneDX.
¿Por qué utilizarlo?
CycloneDX es un estándar muy bien establecido para SBOMs y varios otros tipos de BOM. Existe un enorme ecosistema construido alrededor de CycloneDX y es utilizado globalmente por muchas empresas. Además, los SBOMs son obligatorios para muchas industrias y varios gobiernos - en algún momento, todas las organizaciones tendrán que proporcionar SBOMs para sus clientes, y CycloneDX es un estándar aceptado para esto.
CycloneDX también proporciona estándares para otros tipos de BOMs que pueden ser requeridos en la cadena de suministro junto con estándares para notas de lanzamiento y divulgación responsable. Es útil utilizar CycloneDX a lo largo de la cadena de suministro ya que promueve la interoperabilidad entre las diversas herramientas.
Cómo utilizarlo
La serie OWASP Spotlight proporciona una visión general de CycloneDX junto con una demostración del uso de SBOMs: ‘Proyecto 21 - OWASP CycloneDX’.
CycloneDX es un estándar fácil de entender que puede ser aumentado para adaptarse a todas las partes de una cadena de suministro, y hay muchas herramientas (más de 220 a febrero de 2024) que interoperan con CycloneDX.
La forma más sencilla de utilizar CycloneDX es seleccionar herramientas de esta lista para cualquiera de los tipos de BOM compatibles, con herramientas tanto propietarias/comerciales como de código abierto incluidas en la lista. Un ejemplo común es cuando un cliente solicita que se proporcione un SBOM para una aplicación web, y se pueden elegir varias herramientas que pueden exportar el SBOM en varios formatos.
Traducción de versión original en inglés.
La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse, cree un issue o edítelo en GitHub.
\newpage