ソフトウェア部品表(SBOM)
ソフトウェア製品に含まれるコンポーネント、ライブラリ、モジュールを一般的な 機械読み取り可能な形式で記録した公式の文書。CRA附属書I第II部に基づき、 製造業者は製品の最上位の依存関係を少なくとも網羅したSBOMを作成しなければ ならない。
出典引用
法的根拠
規則(EU)2024/2847附属書I第II部1号は製造業者に対して以下を要求している:
「デジタル要素を含む製品の依存関係ツリーの上部を少なくとも対象とする ソフトウェア部品表を一般的な機械読み取り可能な形式で作成・維持すること。」
SBOMの内容
CRA向けSBOMには少なくとも以下を含める必要がある:
- 各含まれるソフトウェアコンポーネントの名称とバージョン
- ライセンス識別子(SPDXまたは同等のもの)
- コンポーネント間の関係(依存関係)
- 出所情報(ソースまたはパッケージレジストリから)
一般的なSBOM形式
| 形式 | 組織 | 用途 |
|---|---|---|
| SPDX | Linux Foundation | ISO 5962:2021 |
| CycloneDX | OWASP | セキュリティツール対応 |
| SWID | ISO/IEC | インストール済みソフトウェアの識別 |
開示
製造業者はSBOMを公開する義務はないが、市場監視当局の要請に応じて 提供しなければならない。