Nomenclature des composants logiciels (SBOM)
Un inventaire formel des composants, bibliothèques et modules contenus dans un produit logiciel, établi dans un format standard lisible par machine. En vertu de l'Annexe I Partie II du CRA, les fabricants doivent produire un SBOM couvrant au minimum les dépendances de premier niveau de leur produit.
Citations sources
Texte réglementaire
L'Annexe I, Partie II, point 1 du règlement (UE) 2024/2847 exige que les fabricants :
« établissent et maintiennent une nomenclature des composants logiciels dans un format couramment utilisé et lisible par machine couvrant au minimum les dépendances de premier niveau du produit ».
Format et contenu
Le CRA ne prescrit pas de format SBOM spécifique, mais l'expression « format couramment utilisé et lisible par machine » oriente vers des normes établies telles que :
- SPDX (ISO/IEC 5962:2021)
- CycloneDX
Le contenu minimum couvre les dépendances de premier niveau — des packages que le fabricant inclut directement, pas nécessairement les dépendances transitives, bien que celles-ci soient recommandées.
Divulgation du SBOM
Le CRA n'exige pas de rendre le SBOM public. Les fabricants sont tenus de :
- le conserver pendant la période de support
- le fournir aux autorités de surveillance du marché sur demande motivée
Une divulgation plus large est encouragée mais reste à la discrétion du fabricant.