Distinta base del software (SBOM)
Un registro formale dei componenti, delle librerie e dei moduli contenuti in un prodotto software, redatto in un formato di uso comune e leggibile da macchina. Ai sensi dell'Allegato I, Parte II del CRA, i fabbricanti devono produrre un SBOM che copra almeno le dipendenze di primo livello del prodotto.
Citazioni fonti
Testo normativo
L'Allegato I, Parte II, punto 1 del Regolamento (UE) 2024/2847 impone ai fabbricanti di:
«redigere e mantenere una distinta base del software in un formato di uso comune e leggibile da macchina che copra almeno le dipendenze di primo livello del prodotto».
Formato e contenuto
Il CRA non prescrive un formato SBOM specifico, ma l'espressione «formato di uso comune e leggibile da macchina» orienta verso standard consolidati quali:
- SPDX (ISO/IEC 5962:2021)
- CycloneDX
Il contenuto minimo comprende le dipendenze di primo livello — i pacchetti inclusi direttamente dal fabbricante, non necessariamente le dipendenze transitive, anche se queste ultime sono raccomandate.
Divulgazione dello SBOM
Il CRA non impone la pubblicazione dello SBOM. I fabbricanti sono tenuti a:
- Conservarlo durante il periodo di assistenza
- Fornirlo alle autorità di sorveglianza del mercato su richiesta motivata
Una divulgazione più ampia è incoraggiata ma resta a discrezione del fabbricante.