Esercitare la dovuta diligenza sui componenti software (SBOM e supply chain)
- Si applica a
- Manufacturer
- Citazioni fonti
- Art. 13(5)Annex I Part I §2Annex VII
- Classi di prodotto
- DefaultImportant — Class IImportant — Class IICritical
Linguaggio semplice
Se il prodotto utilizza codice non scritto internamente — come librerie open-source o SDK di fornitori — si rimane comunque responsabili della sua sicurezza. È necessario predisporre un elenco di tutti i componenti utilizzati. Questo elenco è denominato SBOM. Prima della commercializzazione, verificare la presenza di vulnerabilità note in ciascun componente. Mantenere l'elenco aggiornato.
Testo giuridico
L'articolo 13, paragrafo 5, del regolamento (UE) 2024/2847 richiede che i fabbricanti garantiscano che, nei casi in cui un componente software incorporato in un prodotto con elementi digitali non sia sviluppato da tale fabbricante, il fabbricante sia in grado di adempiere ai propri obblighi ai sensi del presente regolamento in relazione a tale componente software.
Tale obbligo è rafforzato dall'Allegato I Parte I §2, che richiede ai fabbricanti di identificare e documentare i componenti e di affrontare le vulnerabilità nei componenti di terze parti senza indebito ritardo.
L'Allegato VII richiede espressamente che la documentazione tecnica contenga un SBOM — un inventario leggibile automaticamente di tutti i componenti software.
Requisiti fondamentali
- SBOM — produrre e mantenere una distinta base del software in un formato riconosciuto (CycloneDX o SPDX sono i formati standard del settore allineati alle linee guida ENISA)
- Verifica dei componenti — esaminare i componenti di terze parti alla ricerca di vulnerabilità note prima dell'inclusione
- Monitoraggio CVE/EUVD — monitorare continuamente i componenti per le vulnerabilità divulgate di recente per tutto il periodo di supporto
- Obbligo contrattuale — ove un fornitore di componenti sia esso stesso un fabbricante di PDE, garantire che le informazioni sulla gestione delle vulnerabilità fluiscano verso l'alto
- Nessun componente con vulnerabilità note — non commercializzare componenti con vulnerabilità sfruttabili note (cfr. anche OBL-ART13-06 sui controlli al momento della distribuzione)
Contenuto minimo dell'SBOM
Secondo le linee guida ENISA e l'Allegato VII del CRA, l'SBOM deve includere:
- Nome del componente e fornitore
- Identificatore di versione
- Hash del componente (per la verifica dell'integrità)
- Relazioni di dipendenza
- Licenza nota
Documentazione che potrebbe essere necessaria
- SBOM in formato CycloneDX o SPDX, con controllo di versione
- Risultati delle analisi di composizione del software (SCA)
- Registrazioni delle valutazioni delle vulnerabilità dei componenti
- Disposizioni contrattuali con i fornitori di componenti che coprono la divulgazione delle vulnerabilità
- Registrazioni di monitoraggio CVE e cronologia delle patch/aggiornamenti per i componenti di terze parti