La ENISA acaba de publicar su informe SBOM State of Play 2026», basado en una encuesta realizada a 334 organizaciones (el 65 % con sede en la UE y el 80 % directamente afectadas por la Ley de Ciberresiliencia CRA)). Se trata de la visión más clara hasta la fecha de la situación actual del sector en materia de transparencia de la cadena de suministro de software, y el panorama es más matizado que el simple «todo el mundo está a bordo».
Esto es lo que más me llamó la atención.
La CRA está haciendo el trabajo más duro
Como era de esperar, la CRA es el principal impulsor de SBOM . El 43 % de las organizaciones afirma que la CRA ha acelerado significativamente su SBOM , mientras que otro 29 % señala que ha tenido una influencia moderada. El 78 % ha iniciado su SBOM , y el 79 % espera alcanzar el nivel de madurez requerido para cuando la CRA entre plenamente en vigor en diciembre de 2027.
Esto significa que aproximadamente una de cada cinco organizaciones prevé no cumplir el plazo, y el 12 % ni siquiera puede estimar una fecha.
Generar listas de materiales de software (SBOM) y utilizarlas son dos cosas diferentes
Hoy en día, la mayoría de las organizaciones elaboran listas de materiales de software (SBOM). El 39 % las genera en el momento de la compilación, y el 74 % ha automatizado, al menos parcialmente, su generación por versión. Sin embargo, su uso se está quedando atrás:
- El 44 % señala que existe una brecha moderada entre la generación de SBOM y su uso efectivo, y el 23 % señala que existe una brecha significativa. Solo el 7 % ha logrado cerrarla.
- El 20 % de los encuestados no sabe si en su organización se utilizan las SBOM ni, en caso afirmativo, cómo se utilizan.
- La propia conclusión de la ENISA es que las SBOM se utilizan «principalmente con fines de cumplimiento normativo» y no para garantizar la seguridad activa.
Una SBOM sin leer en un registro de artefactos no es más que papeleo. Las SBOM solo aportan valor cuando se utilizan para la gestión de vulnerabilidades y licencias. Ahí es donde los equipos tienen dificultades. El 58 % considera que la correspondencia de vulnerabilidades (alineación de CPE/PURL, falsos positivos) es un reto importante, y el 60 % señala problemas de calidad de los datos, como componentes e identificadores incompletos.
Los proveedores no están enviando las listas de materiales de software (SBOM)
La mayoría de las organizaciones no reciben listas de materiales de seguridad (SBOM) de sus proveedores porque la mayoría de estos no las envían.
- El 39 % de las organizaciones nunca recibe listas de componentes de software (SBOM) del software comercial que adquieren. Otro 39 % solo las recibe en contadas ocasiones. Solo el 2 % las recibe siempre.
- Solo el 10 % incluye SBOM obligatorias SBOM en los contratos con proveedores (aunque el 55 % está trabajando en ello).
- El 45 % afirma que menos de una cuarta parte de sus proveedores cumple con sus SBOM .
- La exhaustividad (27 %), la precisión de los identificadores (17 %) y las referencias a vulnerabilidades (12 %) son las principales deficiencias en materia de calidad.
La profundidad agrava el problema de calidad. El 36 % de las organizaciones necesita listas de materiales de software (SBOM) que abarquen todos los componentes principales y las dependencias directas, pero solo el 29 % las recibe. En el caso de las SBOM completas, la diferencia es del 24 % de las necesarias frente al 14 % de las recibidas. Y el 45 % ni siquiera sabe qué nivel de profundidad tienen las que reciben.
Dado que la mayoría de las vulnerabilidades en el mundo real se ocultan en las dependencias transitivas, esto limita directamente el valor de seguridad de cualquier SBOM .
Lo que también revelan los datos
El informe saca a la luz algunas conclusiones más que revelan que el sector es consciente del problema, pero le cuesta llevarlo a la práctica.
¿Qué es lo que lo está impidiendo?
- La preocupación supera a la inversión. Más del 90 % de las organizaciones se muestran preocupadas por la seguridad de la cadena de suministro, pero solo el 34 % destina recursos significativos a este fin. La falta de personal cualificado agrava el problema, ya que el 57 % señala la falta de competencias o de personal como un obstáculo.
- La exhaustividad es el principal obstáculo. El 62 % afirma que alcanzar un alto grado de SBOM resulta bastante difícil o extremadamente difícil.
- La guerra de los formatos no ha terminado. CycloneDX lidera (44 %) frente a SPDX (29 %), pero un 28 % sigue utilizando formatos propietarios o no estándar. Esto supone un riesgo directo para el cumplimiento normativo, ya que la CRA exige un formato de uso común y legible por máquina, y la directriz del BSI alemán exige explícitamente CycloneDX 1.6+ o SPDX 3.0.1+.
¿Quién va en cabeza y qué va a pasar ahora?
- Las pequeñas empresas llevan discretamente la delantera. Entre el 23 % y el 25 % de las microempresas y pequeñas empresas afirman SBOM con madurez y de forma automatizada SBOM , frente a solo el 4 %-6 % de las medianas y grandes empresas. Por su parte, el 36 % de las grandes empresas consideran que las SBOM son una «carga obligatoria».
- El mercado demanda una implementación de referencia con flujos de trabajo ya preparados (26 %), pruebas de rendimiento de herramientas y una guía para compradores (22 %), pruebas de conformidad (18 %) y un perfil que defina cómo SBOM una SBOM «suficientemente buena» (31 %).
Lo que esto significa en la práctica
Los datos de la ENISA apuntan a la utilización como el reto que marcará el año 2026. Esto implica la generación automática en cada compilación, actualizaciones continuas a lo largo de todo el periodo de soporte del producto, flujos de trabajo de vulnerabilidades vinculados realmente a SBOM y visibilidad sobre lo que te envían tus proveedores. Es ahí donde la encuesta revela las mayores deficiencias, y es ahí donde la CRA ejercerá mayor presión.
Cómo te ayuda el aikido a conseguirlo
Aquí es donde Aikido Security entra en juego, llevando la transparencia de la cadena de suministro más allá del mero cumplimiento normativo e integrándola en sus flujos de trabajo de gestión de vulnerabilidades y licencias.
SBOM con un solo clic en el formato adecuado
Con un solo clic, Aikido genera SBOM para tus repositorios en CycloneDX y SPDX, los dos formatos que recomiendan las directrices de la CRA y la BSI. Esto cubre el 28 % de las organizaciones que aún utilizan formatos propietarios y cumple con la obligación de «contenido mínimo en formato legible por máquina», y las exportaciones están listas para incorporarlas a tu documentación técnica en caso de que una autoridad de vigilancia del mercado las solicite.
SBOM , incluidas las SBOM declaradas por los propios usuarios
Generar tu propia SBOM cubre el código que escribes. Aikido también te permite importar SBOM que recibes de proveedores y distribuidores (SBOM autoinformadas), de modo que los componentes de terceros se incluyen en la misma supervisión de vulnerabilidades que tus propias dependencias. Teniendo en cuenta que el 39 % de las organizaciones nunca recibe SBOM de los proveedores y que la mayoría de las que sí las reciben no pueden actuar en consecuencia, disponer de un lugar donde las SBOM de los proveedores se conviertan en inventario supervisado, comparado continuamente con vulnerabilidades conocidas, cierra la brecha de consumo que describe la ENISA.
Protección de dispositivos con Aikido: visibilidad donde las listas SBOM no llegan
Las SBOM describen el contenido de tus productos. Sin embargo, tu superficie de ataque también incluye los equipos que compilan y escriben ese software. La implementación de Aikido Device Protection en los servidores de compilación y en los equipos de los desarrolladores amplía ese mismo enfoque de inventario y vulnerabilidad a tu entorno de desarrollo, abarcando qué herramientas, entornos de ejecución y paquetes están instalados, cuáles están obsoletos o son vulnerables, y si el entorno que produce tus compilaciones «de confianza» es, a su vez, fiable. Dado que ataques a la cadena de suministro los procesos de integración continua (CI) y ataques a la cadena de suministro las estaciones de trabajo de los desarrolladores, en lugar del código en sí, esto elimina un punto ciego que ningún SBOM te SBOM jamás.
En conjunto, estas tres funciones te permiten saber qué envías, qué consumes y en qué entorno se fabrica todo. Funcionan de forma continua, sin añadir otro panel de control que tu equipo acabe ignorando. Eso es seguridad en la cadena de suministro que va más allá del mero cumplimiento normativo.
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"url": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"name": "SBOMs in 2026: Everyone's generating them, no one's using them",
"description": "ENISA's 2026 SBOM Adoption State of Play surveyed 334 organisations and found a consistent gap between generating SBOMs and actually using them. Here is what the data shows and what it means for CRA compliance.",
"inLanguage": "en",
"isPartOf": {
"@type": "WebSite",
"@id": "https://www.aikido.dev",
"url": "https://www.aikido.dev",
"name": "Aikido Security"
},
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#breadcrumb"
},
"mainEntity": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#article"
},
"speakable": {
"@type": "SpeakableSpecification",
"cssSelector": ["h1", "h2", ".article-summary"]
}
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://www.aikido.dev"
},
{
"@type": "TechArticle",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "SBOMs in 2026: Everyone's generating them, no one's using them",
"item": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using"
}
]
},
{
"@type": "TechArticle",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#article",
"mainEntityOfPage": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using"
},
"headline": "SBOMs in 2026: Everyone's generating them, no one's using them",
"description": "ENISA's 2026 SBOM Adoption State of Play surveyed 334 organisations and found a consistent gap between generating SBOMs and actually using them. Here is what the data shows and what it means for CRA compliance.",
"datePublished": "2026-06-10T00:00:00Z",
"dateModified": "2026-06-10T00:00:00Z",
"timeRequired": "PT7M",
"inLanguage": "en",
"url": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"canonicalUrl": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"author": {
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person"
},
"publisher": {
"@id": "https://www.aikido.dev#organization"
},
"image": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/images/blog/sboms-in-2026-cover.png",
"width": 1200,
"height": 630,
"alt": "SBOMs in 2026: Everyone's generating them, no one's using them — Aikido Security"
},
"keywords": [
"SBOM",
"Software Bill of Materials",
"Cyber Resilience Act",
"CRA compliance",
"software supply chain security",
"ENISA",
"CycloneDX",
"SPDX",
"SBOM adoption",
"vulnerability management",
"supply chain transparency",
"open source security",
"SCA",
"dependency scanning",
"Aikido Security",
"SBOM generation",
"SBOM consumption",
"transitive dependencies",
"BSI guidelines",
"EU cybersecurity"
],
"about": [
{
"@type": "DefinedTerm",
"name": "Software Bill of Materials (SBOM)",
"description": "A structured list of all components, libraries, and dependencies included in a software product, used for supply chain transparency and vulnerability management."
},
{
"@type": "DefinedTerm",
"name": "Cyber Resilience Act (CRA)",
"description": "EU regulation requiring manufacturers of products with digital elements to ensure cybersecurity throughout the product lifecycle, including SBOM requirements, fully applicable December 2027."
},
{
"@type": "DefinedTerm",
"name": "CycloneDX",
"description": "An OWASP-maintained SBOM standard and machine-readable format, explicitly expected by Germany's BSI guideline at version 1.6 or higher."
},
{
"@type": "DefinedTerm",
"name": "SPDX",
"description": "A Linux Foundation SBOM standard and machine-readable format, explicitly expected by Germany's BSI guideline at version 3.0.1 or higher."
}
],
"mentions": [
{
"@type": "Organization",
"name": "ENISA",
"url": "https://www.enisa.europa.eu",
"description": "European Union Agency for Cybersecurity, publisher of the SBOM Adoption State of Play 2026 report."
},
{
"@type": "Organization",
"name": "BSI",
"url": "https://www.bsi.bund.de",
"description": "Germany's Federal Office for Information Security, which has published SBOM format guidance explicitly requiring CycloneDX 1.6+ or SPDX 3.0.1+."
},
{
"@type": "SoftwareApplication",
"name": "Aikido Device Protection",
"url": "https://www.aikido.dev/protect/device-protection",
"applicationCategory": "SecurityApplication",
"operatingSystem": "Cross-platform",
"description": "Aikido Security's endpoint protection for developer devices and build servers, extending inventory and vulnerability monitoring beyond what SBOMs cover."
},
{
"@type": "SoftwareApplication",
"name": "Aikido SBOM Generator",
"url": "https://www.aikido.dev/use-cases/sbom-generator-create-software-bill-of-materials",
"applicationCategory": "SecurityApplication",
"description": "One-click SBOM generation in CycloneDX and SPDX formats for software repositories, supporting CRA and BSI compliance requirements."
}
],
"citation": [
{
"@type": "CreativeWork",
"name": "SBOM Adoption State of Play 2026",
"author": {
"@type": "Organization",
"name": "ENISA"
},
"url": "https://www.enisa.europa.eu"
}
],
"articleSection": [
"The CRA is doing the heavy lifting",
"Generating SBOMs and using them are two different things",
"Suppliers aren't sending SBOMs",
"What the data also shows",
"What this means in practice",
"How Aikido helps you get there"
],
"proficiencyLevel": "Intermediate"
},
{
"@type": "Person",
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person",
"name": "Nicholas Thomson",
"jobTitle": "Senior SEO & Growth Lead",
"worksFor": {
"@id": "https://www.aikido.dev#organization"
},
"url": "https://www.aikido.dev/authors/nicholas-thomson",
"sameAs": [
"https://www.linkedin.com/",
"https://x.com/"
]
},
{
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png",
"width": 200,
"height": 60,
"alt": "Aikido Security logo"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security",
"https://twitter.com/aikido_security",
"https://github.com/aikido-security"
]
}
]
}
</script>
