Regulación y novedadespor @gonzalo.producthace 69 d

CRA y SBOM: ¿estamos haciendo lo suficiente?

Producto IoT en mercado UE. Cyber Resilience Act exige SBOM y vulnerability handling. Generamos SBOM CycloneDX por release pero no lo monitorizamos contra advisories. ¿Cómo escala esto sin presupuesto de SOC?

5 respuestas

Respuestas (5)

@andres.srehace 68 d

Snyk Container + GitHub Security Advisories cubren el 90% sin coste de SOC dedicado. El truco está en que el alerting llegue a quien puede hacer el rebuild, no al CISO.

@cris.psirthace 66 d

Considera Dependency-Track open source. Te montas tu propio dashboard con alerts contra OSV. Nosotros lo usamos para 12 productos y funciona bien con un FTE.

@gonzalo.producthace 63 d

Dependency-Track suena bien. Lo voy a piloto este trimestre. Gracias.

@gonzalo.producthace 55 d

Generar el SBOM con CycloneDX es lo fácil. Lo difícil es mantenerlo vivo y vincularlo a gestión de vulnerabilidades. El CRA pide soporte durante la vida del producto, no una foto.

@pablo.devopshace 50 d

Lo integramos en el pipeline CI: SBOM por build + alerta si entra un componente con CVE. Sin automatizar es inviable mantenerlo.

Inicia sesión para responder y votar.