Este es el tercer artículo de la serie SBOM y describe la implementación de soporte para CycloneDX en el lenguaje Raku.
Al no existir entonces soporte en Raku para ninguno de los estándares SBOM principales, hubo que decidir entre SPDX 3.0.1 y CycloneDX 1.6. Se eligió CycloneDX por recomendación y por tener una especificación más fácil de leer y recorrer, lo que facilita el desarrollo y la implementación.
El proyecto SBOM::CycloneDX comenzó a finales de junio y la primera versión pública se subió el 7 de julio. La distribución terminó siendo una de las más grandes en las que se ha trabajado con 125 clases repartidas en 51 ficheros, 51 enums, 25 subsets, más de 5000 líneas de código con documentación integrada y alrededor de 4400 líneas de documentación en markdown.
¿Por qué tantas clases para un SBOM que aparentemente es un conjunto de hashes, arrays y valores scalars anidados? Porque la especificación impone muchas restricciones sobre campos concretos, por ejemplo números que deben ser mayores que 0, valores dentro de rangos específicos o cadenas con formatos muy concretos. Estas restricciones son mucho más fáciles de imponer y comprobar en Raku mediante enum, subset y clases con tipos, que en un hash plano.
Se optó por crear una clase para cada elemento de CycloneDX 1.6 que no fuera un valor simple, lo que permitió reutilización interna cuando una misma estructura aparece en distintos sitios del estándar. Además se implementó un mecanismo de recopilación de errores que permite validar todo un SBOM y devolver una lista de fallos en lugar de abortar al primer error detectado, parecido a las preocupaciones de compilación en Raku.
La documentación de los campos se colocó junto al código usando los bloques declaradores de Raku, de forma que gran parte de la documentación se genera automáticamente a partir del código fuente. Esto facilita mantener la especificación y la documentación sincronizadas y comprensibles.
Las definiciones tipo enum del estándar presentaron un reto adicional porque cada valor enum incluye una descripción que conviene mantener. Se creó un rol llamado Enumify que permite comportarse como un enum pero que conserva la descripción asociada a cada valor y permite consultarla tanto en la clase como en sus instancias. Para facilitar el mantenimiento, los textos de los enums se almacenan como archivos de recursos que se cargan en tiempo de compilación e integran las descripciones en las clases correspondientes.
La distribución instala además un script llamado cyclonedx que permite validar ficheros SBOM, realizar selecciones y mostrar SBOM normalizados en JSON, YAML o en código Raku. Entre las utilidades disponibles está la extracción de Package URLs para ver todas las dependencias directas y transitorias de una distribución, lo que resulta muy útil para auditorías y análisis de software.
Crear una implementación completa de CycloneDX 1.6 ha supuesto un trabajo considerable y es probable que aparezcan errores y que nuevas versiones del estándar impliquen más trabajo. Aun así, se ha sentado una base sólida para manejar SBOMs en Raku y facilitar su uso en herramientas y proyectos que requieran trazabilidad y análisis de componentes.
En Q2BSTUDIO somos una empresa de desarrollo de software comprometida con ofrecer soluciones a medida y software a medida para empresas de todos los tamaños. Somos especialistas en inteligencia artificial e ia para empresas, agentes IA y en la integración de capacidades de power bi para mejorar la toma de decisiones. También ofrecemos servicios de ciberseguridad, auditoría y protección de datos, así como servicios cloud aws y azure para diseñar infraestructuras seguras y escalables. Nuestros servicios inteligencia de negocio combinan analítica avanzada, dashboards y modelos predictivos para transformar datos en valor.
Si su organización necesita aplicaciones a medida, integración de inteligencia artificial, agentes IA, consultoría en ciberseguridad o despliegues en servicios cloud aws y azure, en Q2BSTUDIO podemos ayudarle a diseñar e implementar la solución adecuada. Contamos con experiencia en proyectos que requieren interoperabilidad con estándares como CycloneDX para gestión de componentes y cumplimiento de buenas prácticas en desarrollo seguro.
Palabras clave para posicionamiento y búsquedas: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi.
En resumen, el soporte CycloneDX en Raku aporta una herramienta robusta para generar, validar y analizar SBOMs conforme a la especificación 1.6, y empresas tecnológicas como Q2BSTUDIO pueden aprovechar estas capacidades para ofrecer soluciones seguras y trazables basadas en software a medida e inteligencia artificial.