Nos últimos tempos, a discussão sobre "Software Bills of Materials" (SBOMs) tem ganhado cada vez mais destaque no meio da tecnologia. Recentemente, durante o QCon London 2026, Viktor Petersson levantou um alerta importante sobre o tempo que as equipes de desenvolmento têm para adotar essas práticas, especialmente em vista das mudanças legislativas que se aproximam tanto nos Estados Unidos quanto na Europa. Mas o que exatamente são SBOMs e por que elas estão se tornando tão cruciais?
O que são SBOMs?
SBOM, ou Software Bill of Materials, é uma lista detalhada de todos os componentes que compõem um software. Imagine como uma receita de bolo, onde cada ingrediente é listado, incluindo suas versões e fontes. Essa transparência é fundamental, especialmente em um mundo onde a segurança cibernética é uma preocupação crescente. A nova Lei de Resiliência Cibernética da UE (CRA) e o Executive Order 14028 nos EUA estão levando a SBOMs de uma cimples boa prática a uma exigência legal.
A importância das SBOMs
As SBOMs são vistas como um teste de litmus para entender o que realmente está dentro do seu software. Com a CRA entrando em vigor, a partir de setembro de 2026, as empresas precisam estar preparadas. O não cumprimento pode resultar não apenas em multas, mas em bloqueios de vendas no mercado europeu. Isso representa um desafiu significativo para desenvolvedores e arquitetos de software, que devem garantir que seus produtos estejam em conformidade.
Dicas para implementação de SBOMs
Adotar SBOMs pode parecer uma tarefa complexa, mas com algumas estratégias, isso se torna mais gerenciável. Aqui vão algumas dicas que podem ser úteis:
- Escolha a ferramenta certa: Ferramentas genéricas como Syft e Trivy são boas, mas ferramentas específicas para seu domínio, como os geradores do CycloneDX para Python ou Rust, podem oferecer resultados de maior qualidade.
- Evite atalhos: Um erro comum é usar um scanner genérico em um grande container Docker. Isso pode resultar em uma SBOM de qualidade ruim. Melhore a qualidade dividindo o projeto em partes menores.
- Não pule a assinatura: Muitas equipes esquecem de assinar suas SBOMs, mas isso é um erro crítico. A assinatura garante uma cadeia de custódia verificável.
- Gerencie o ciclo de vida: A gestão das SBOMs deve ser parte do processo de desenvolvimento, assim como o código-fonte. Não é incomum uma empresa ter várias SBOMs que mudam a cada execução de CI.
Reflexões finais
O cenário está mudando rapidamente, e a urgência em torno das SBOMs não pode ser subestimada. Como desenvolvedores e arquitetos de software, precisamos nos preparar para essas novas exigências e garantir que nossos produtos estejam sempre em conformidade. A boa notícia é que, com processos bem definidos e ferramentas adequadas, é possível fazer essa transição de forma eficaz. Não espere até o último minuto para agir; comece agora e esteja à frente da curva.
Seja proativo, afinal, a segurança do software é uma responsabilidade de todos nós.