A ENISA acaba de publicar o seu relatório SBOM State of Play 2026», baseado num inquérito a 334 organizações (65 % sediadas na UE, 80 % diretamente afetadas pela Lei de Ciber-Resiliência CRA)). Trata-se do retrato mais nítido até à data da situação atual do setor no que diz respeito à transparência da cadeia de abastecimento de software, e o panorama é mais matizado do que simplesmente «todos estão a bordo».
Eis o que se destacou.
A CRA está a fazer o trabalho mais pesado
Como era de esperar, a CRA é o principal fator impulsionador da SBOM . 43% das organizações afirmam que a CRA acelerou significativamente SBOM seu SBOM , enquanto outros 29% referem uma influência moderada. 78% já iniciaram SBOM seu SBOM e 79% esperam atingir o nível de maturidade exigido quando a CRA entrar plenamente em vigor, em dezembro de 2027.
Isso significa que cerca de 1 em cada 5 organizações prevê não cumprir o prazo, e 12% nem sequer conseguem estimar um prazo.
Gerar SBOMs e utilizá-las são duas coisas diferentes
Atualmente, a maioria das organizações produz SBOMs. 39 % geram-nas na fase de compilação e 74 % automatizaram, pelo menos parcialmente, a sua geração por versão. No entanto, a sua utilização está a ficar para trás:
- 44 % referem uma discrepância moderada entre a criação de SBOMs e a sua utilização efetiva, e 23 % referem uma discrepância significativa. Apenas 7 % conseguiram colmatar essa discrepância.
- 20 % dos inquiridos não sabem se, ou de que forma, as SBOM são utilizadas na sua organização.
- A própria conclusão da ENISA é que as SBOM são utilizadas «principalmente para fins de conformidade», em vez de para garantir a segurança ativa.
Uma SBOM por ler num registo de artefactos é apenas papelada. As SBOM só trazem valor quando alimentam a gestão de vulnerabilidades e de licenças. É aí que as equipas enfrentam dificuldades. 58 % consideram a correspondência de vulnerabilidades (alinhamento CPE/PURL, falsos positivos) um grande desafio, e 60 % assinalam problemas de qualidade dos dados, como componentes e identificadores incompletos.
Os fornecedores não estão a enviar as SBOMs
A maioria das organizações não está a receber SBOMs dos seus fornecedores porque a maioria dos fornecedores não as está a enviar.
- 39 % das organizações nunca recebem SBOMs do software comercial que adquirem. Outros 39 % só as recebem raramente. Apenas 2 % as recebem sempre.
- Apenas 10 % incluem SBOM obrigatórias SBOM nos contratos com fornecedores (embora 55 % estejam a trabalhar nesse sentido).
- 45 % afirmam que menos de um quarto dos seus fornecedores cumpre SBOM seus SBOM .
- A exaustividade (27 %), a precisão dos identificadores (17 %) e as referências a vulnerabilidades (12 %) são as principais lacunas em termos de qualidade.
A profundidade agrava o problema de qualidade. 36% das organizações necessitam de SBOMs que abranjam todos os componentes principais e dependências diretas, mas apenas 29% as recebem. No caso das SBOMs com profundidade total, a diferença é de 24% necessárias contra 14% recebidas. E 45% nem sequer sabem qual é o nível de profundidade que estão a receber.
Uma vez que a maioria das vulnerabilidades no mundo real se esconde em dependências transitivas, isto limita diretamente o valor de segurança de qualquer SBOM .
O que os dados também revelam
O relatório revela mais algumas conclusões que mostram um setor que compreende o problema, mas que tem dificuldade em pô-lo em prática.
O que está a impedir
- A preocupação supera o investimento. Mais de 90 % das organizações manifestam preocupação com a segurança da cadeia de abastecimento, mas apenas 34 % destinam recursos significativos a esta área. A falta de competências agrava o problema, com 57 % a referir a falta de competências ou de pessoal como um obstáculo.
- A exaustividade é o principal obstáculo. 62 % afirmam que alcançar um elevado grau de SBOM é bastante ou extremamente difícil.
- A disputa entre formatos ainda não terminou. O CycloneDX lidera (44 %) sobre o SPDX (29 %), mas 28 % ainda utilizam formatos proprietários ou não padronizados. Trata-se de um risco direto de conformidade, uma vez que a CRA exige um formato de uso comum e legível por máquina, e a diretriz do BSI alemão prevê explicitamente o CycloneDX 1.6+ ou o SPDX 3.0.1+.
Quem está na liderança e o que se segue
- As pequenas empresas estão discretamente à frente. Entre 23 % e 25 % das micro e pequenas empresas afirmam ter SBOM madura e automatizada SBOM , contra apenas 4 % a 6 % das médias e grandes empresas. Entretanto, 36 % das grandes empresas consideram as SBOMs um «fardo obrigatório».
- O mercado procura uma implementação de referência com pipelines pré-definidos (26%), benchmarks de ferramentas e um guia do comprador (22%), testes de conformidade (18%) e um perfil que defina como SBOM uma SBOM «suficientemente boa» (31%).
O que isto significa na prática
Os dados da ENISA apontam a utilização como o desafio que marcará o ano de 2026. Isso significa a geração automatizada em cada compilação, atualizações contínuas ao longo do período de suporte do produto, fluxos de trabalho de vulnerabilidades efetivamente ligados aos SBOM e visibilidade sobre o que os seus fornecedores lhe enviam. É aí que o inquérito revela as maiores lacunas e é aí que a CRA exercerá maior pressão.
Como Aikido o Aikido alcançar esse objetivo
É aqui que entra Aikido , levando a transparência da cadeia de abastecimento para além da mera verificação de conformidade e integrando-a nos seus fluxos de trabalho de vulnerabilidades e licenciamento.
SBOM com um clique no formato adequado
Com um único clique, Aikido SBOMs para os seus repositórios nos formatos CycloneDX e SPDX, os dois formatos indicados nas orientações da CRA e da BSI. Isto abrange os 28% das organizações que ainda utilizam formatos proprietários e cumpre a obrigação de «conteúdo mínimo em formato legível por máquina», e as exportações estão prontas para serem incluídas na sua documentação técnica caso uma autoridade de fiscalização do mercado as solicite.
SBOM , incluindo SBOMs auto-declaradas
A geração da sua própria SBOM abrange SBOM o código que escreve. Aikido permite importar SBOMs que recebe de fornecedores e distribuidores (SBOMs auto-declaradas), para que os componentes de terceiros sejam incluídos no mesmo monitoramento de vulnerabilidades que as suas próprias dependências. Considerando que 39% das organizações nunca recebem SBOMs de fornecedores e que a maioria das que as recebem não consegue agir com base nelas, ter um local onde as SBOMs de fornecedores se tornam um inventário monitorado, continuamente comparado com vulnerabilidades conhecidas, colmata a lacuna de consumo descrita pela ENISA.
Proteção Aikido : visibilidade onde as SBOMs não chegam
As SBOMs descrevem o que está presente nos seus produtos. No entanto, a sua superfície de ataque também inclui as máquinas que compilam e escrevem esse software. A implementação Aikido Protection em servidores de compilação e máquinas de programadores alarga essa mesma abordagem de inventário e vulnerabilidades ao seu ambiente de desenvolvimento, abrangendo quais as ferramentas, ambientes de execução e pacotes que estão instalados, quais estão desatualizados ou vulneráveis e se o próprio ambiente que produz as suas compilações «confiáveis» é, de facto, fiável. Com ataques à Supply chain pipelines de CI e estações de trabalho de programadores, em vez do próprio código, isto elimina um ponto cego que nenhum SBOM alguma vez lhe SBOM .
Em conjunto, estas três funcionalidades permitem-lhe saber o que envia, o que consome e o ambiente em que tudo é produzido. Funcionam de forma contínua, sem adicionar mais um painel de controlo que a sua equipa acaba por ignorar. É isto que se entende por segurança da cadeia de abastecimento, que vai além da simples verificação do cumprimento das normas.
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"url": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"name": "SBOMs in 2026: Everyone's generating them, no one's using them",
"description": "ENISA's 2026 SBOM Adoption State of Play surveyed 334 organisations and found a consistent gap between generating SBOMs and actually using them. Here is what the data shows and what it means for CRA compliance.",
"inLanguage": "en",
"isPartOf": {
"@type": "WebSite",
"@id": "https://www.aikido.dev",
"url": "https://www.aikido.dev",
"name": "Aikido Security"
},
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#breadcrumb"
},
"mainEntity": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#article"
},
"speakable": {
"@type": "SpeakableSpecification",
"cssSelector": ["h1", "h2", ".article-summary"]
}
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://www.aikido.dev"
},
{
"@type": "TechArticle",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "SBOMs in 2026: Everyone's generating them, no one's using them",
"item": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using"
}
]
},
{
"@type": "TechArticle",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#article",
"mainEntityOfPage": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using"
},
"headline": "SBOMs in 2026: Everyone's generating them, no one's using them",
"description": "ENISA's 2026 SBOM Adoption State of Play surveyed 334 organisations and found a consistent gap between generating SBOMs and actually using them. Here is what the data shows and what it means for CRA compliance.",
"datePublished": "2026-06-10T00:00:00Z",
"dateModified": "2026-06-10T00:00:00Z",
"timeRequired": "PT7M",
"inLanguage": "en",
"url": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"canonicalUrl": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"author": {
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person"
},
"publisher": {
"@id": "https://www.aikido.dev#organization"
},
"image": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/images/blog/sboms-in-2026-cover.png",
"width": 1200,
"height": 630,
"alt": "SBOMs in 2026: Everyone's generating them, no one's using them — Aikido Security"
},
"keywords": [
"SBOM",
"Software Bill of Materials",
"Cyber Resilience Act",
"CRA compliance",
"software supply chain security",
"ENISA",
"CycloneDX",
"SPDX",
"SBOM adoption",
"vulnerability management",
"supply chain transparency",
"open source security",
"SCA",
"dependency scanning",
"Aikido Security",
"SBOM generation",
"SBOM consumption",
"transitive dependencies",
"BSI guidelines",
"EU cybersecurity"
],
"about": [
{
"@type": "DefinedTerm",
"name": "Software Bill of Materials (SBOM)",
"description": "A structured list of all components, libraries, and dependencies included in a software product, used for supply chain transparency and vulnerability management."
},
{
"@type": "DefinedTerm",
"name": "Cyber Resilience Act (CRA)",
"description": "EU regulation requiring manufacturers of products with digital elements to ensure cybersecurity throughout the product lifecycle, including SBOM requirements, fully applicable December 2027."
},
{
"@type": "DefinedTerm",
"name": "CycloneDX",
"description": "An OWASP-maintained SBOM standard and machine-readable format, explicitly expected by Germany's BSI guideline at version 1.6 or higher."
},
{
"@type": "DefinedTerm",
"name": "SPDX",
"description": "A Linux Foundation SBOM standard and machine-readable format, explicitly expected by Germany's BSI guideline at version 3.0.1 or higher."
}
],
"mentions": [
{
"@type": "Organization",
"name": "ENISA",
"url": "https://www.enisa.europa.eu",
"description": "European Union Agency for Cybersecurity, publisher of the SBOM Adoption State of Play 2026 report."
},
{
"@type": "Organization",
"name": "BSI",
"url": "https://www.bsi.bund.de",
"description": "Germany's Federal Office for Information Security, which has published SBOM format guidance explicitly requiring CycloneDX 1.6+ or SPDX 3.0.1+."
},
{
"@type": "SoftwareApplication",
"name": "Aikido Device Protection",
"url": "https://www.aikido.dev/protect/device-protection",
"applicationCategory": "SecurityApplication",
"operatingSystem": "Cross-platform",
"description": "Aikido Security's endpoint protection for developer devices and build servers, extending inventory and vulnerability monitoring beyond what SBOMs cover."
},
{
"@type": "SoftwareApplication",
"name": "Aikido SBOM Generator",
"url": "https://www.aikido.dev/use-cases/sbom-generator-create-software-bill-of-materials",
"applicationCategory": "SecurityApplication",
"description": "One-click SBOM generation in CycloneDX and SPDX formats for software repositories, supporting CRA and BSI compliance requirements."
}
],
"citation": [
{
"@type": "CreativeWork",
"name": "SBOM Adoption State of Play 2026",
"author": {
"@type": "Organization",
"name": "ENISA"
},
"url": "https://www.enisa.europa.eu"
}
],
"articleSection": [
"The CRA is doing the heavy lifting",
"Generating SBOMs and using them are two different things",
"Suppliers aren't sending SBOMs",
"What the data also shows",
"What this means in practice",
"How Aikido helps you get there"
],
"proficiencyLevel": "Intermediate"
},
{
"@type": "Person",
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person",
"name": "Nicholas Thomson",
"jobTitle": "Senior SEO & Growth Lead",
"worksFor": {
"@id": "https://www.aikido.dev#organization"
},
"url": "https://www.aikido.dev/authors/nicholas-thomson",
"sameAs": [
"https://www.linkedin.com/",
"https://x.com/"
]
},
{
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png",
"width": 200,
"height": 60,
"alt": "Aikido Security logo"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security",
"https://twitter.com/aikido_security",
"https://github.com/aikido-security"
]
}
]
}
</script>
