从欧盟弹性法案看软件物料清单（SBOM）

网安云

于 2024-06-10 14:30:00 发布

阅读量797

点赞数 21

分类专栏：医疗器械网络安全文章标签：网络安全医疗器械 SBOM 欧盟

本文链接：https://blog.csdn.net/suriwa/article/details/139522709

版权

医疗器械网络安全专栏收录该内容

15 篇文章 0 订阅

订阅专栏

随着网络安全意识的提升和相关法规的推动，SBOM在国际上网络安全实践中的重要性日益凸显。

例如：美国国土安全部（DHS）的 “软件供应链评估工具包”（SCAT）就鼓励软件供应商提供SBOM，以帮助买方评估软件的安全性；美国医疗器械上市FDA认证中，SBOM已成为重要的审核维度；欧盟网络安全局（ENISA）也在其发布的多份报告中强调了SBOM在提高网络安全透明度和促进供应链安全中的作用。

美国相关政策法规对软件SBOM的要求，网安云在之前的许多分享里面都有相关介绍和分析，今天我们将把视角转向欧盟，对欧盟弹性法案中SBOM相关条款进行分享，进一步跟大家探讨国际上对于软件物料清单的实践与对我们的启示。

01/ 欧盟弹性法案&SBOM

2022 年 9 月 15日，欧洲公布了最新的网络安全基本要求提案《网络弹性法案》，将于今年生效。

法规要求所有出口欧洲的数字产品都必须提供安全保障、软件物料清单、漏洞报告机制和为期五年的补丁更新。该提案要求企业公布软件物料清单(SBOM)，详细列出每款产品中使用的组件，以帮助制造商监控供应链并跟踪安全漏洞。

法案生效后，对于不合规行为，有关当局可能会要求改进产品或召回产品，并处以最高1,500万欧元或全球年收入的2.5%的罚款。

In order to facilitate vulnerability analysis, manufacturers should identify and document components contained in the products with digital elements, including by drawing up a software bill of materials.

——欧盟弹性法案（简称CRA）第 37 条原文，规定了制造商识别和记录软件来源的责任

1、适用对象

《网络弹性法案》适用于所有直接或间接连接到另一设备或网络的数字产品，其中，数字产品包括“任何软件或硬件产品及其远程数据处理解决方案，包括单独投放市场的软件或硬件组件”。该法案将适用于这些产品从设计阶段到淘汰阶段的整个生命周期。

2、什么样的SBOM文件符合法案要求

Manufacturers of the products with digital elements shall: (1) identify and document vulnerabilities and components contained in the product, including by drawing up a software bill of materials in a commonly used and machine-readable format covering at the very least the top-level dependencies of the product.

——附件1第2节原文中对SBOM文件的要求

① 文件机器可读

要使 SBOM 能被广泛应用，并且能被自动生成和机器可读，其交换格式则必须符合标准规范。用于生成和使用 SBOM 的数据格式包括：SPDX、CycloneDX 和 SWID 标签。

业界常用的两个标准是 SPDX 和 CycloneDX。这些标准旨在建立SBOM输出的统一性，以便当使用两个不同的 SBOM 生成工具，生成同一软件的 SBOM 时，他们能产生相同的结果。这些格式可以定制为：包含、排除或链接到某些信息，例如许可证、版权和漏洞，具体取决于用例和垂直行业。

② 包含组件基础依赖关系

SBOM除了对软件版本、类型、名称、供应商等基本信息进行展示之外，还需包含软件内部成分信息（包括但不限于：内部引用组件、许可的版本、来源、调用位置、依赖关系、层次关系等）。对软件内部成分情况的识别“颗粒度”不同，对安全问题的“洞见力”就不同。

02/ 如何生成符合欧盟弹性法案要求的SBOM文件

方式一： 0操作成本，安全专家一站式服务为您生成SBOM文件

网安云软件物料清单服务

（推荐产品海外上市网络安全审查等客户使用）

1、安全需求咨询与服务方案制定

对客户实际应用场景与需求进行深入调研，根据需求制定服务方案，包含协定服务流程与产出交付物形态（例如文件格式、规范、需要符合何种法规等）。

2、第三方组件安全检测

自研第三方组件安全工具与安全专家分析相结合，产出软件第三方组件安全检测结果，根据需求可生成专业化检测报告。

3、软件物料清单（SBOM）相关文件生成

导出国际三大物料清单格式，也可支持其他更多字段，满足美国NIST发布的指南Framing Software Component Transparency: Establishing a Common Software Bill of Materials (SBOM)的要求，导出文件机器可读。

网安云，目针对医疗器械海外国内注册、变更推出网络安全解决方案，专业安全专家与法规研究团队对国内、美国、欧盟等国家医疗器械注册网络安全要求进行深入钻研，为客户定制化网络安全方案，帮助客户为设备注册、上市出具符合法规要求的网络安全文件。

网安云

关注

21
点赞
踩
9

收藏

觉得还不错? 一键收藏
0
评论
从欧盟弹性法案看软件物料清单（SBOM）

网安云，目针对医疗器械海外国内注册、变更推出网络安全解决方案，专业安全专家与法规研究团队对国内、美国、欧盟等国家医疗器械注册网络安全要求进行深入钻研，为客户定制化网络安全方案，帮助客户为设备注册、上市出具符合法规要求的网络安全文件。这些标准旨在建立SBOM输出的统一性，以便当使用两个不同的 SBOM 生成工具，生成同一软件的 SBOM 时，他们能产生相同的结果。，对欧盟弹性法案中SBOM相关条款进行分享，进一步跟大家探讨国际上对于软件物料清单的实践与对我们的启示。（推荐产品海外上市网络安全审查等客户使用）
复制链接

扫一扫