ソフトウェアコンポーネントに対するデューデリジェンスの実施（SBOMとサプライチェーン）

規則（EU）2024/2847第13条第5項は、デジタル要素を含む製品に組み込まれたソフトウェアコンポーネントが当該製造業者によって開発されていない場合、製造業者は当該ソフトウェアコンポーネントに関してこの規則に基づく義務を果たせるようにすることを義務付けている。

これは、製造業者がコンポーネントを特定・文書化し、サードパーティコンポーネントの脆弱性を不当な遅延なく対処することを義務付ける附属書I第I部第2項によって強化されている。

附属書VIIは、技術文書にすべてのソフトウェアコンポーネントの機械可読な目録であるSBOMを含めることを明示的に義務付けている。

1. SBOM——認められた形式（ENISAのガイダンスに沿ったCycloneDXまたはSPDXが業界標準形式）でソフトウェア部品表を作成・維持する
2. コンポーネントの審査——組み込み前にサードパーティコンポーネントの既知の脆弱性を審査する
3. CVE/EUVD監視——サポート期間全体にわたって新たに開示された脆弱性についてコンポーネントを継続的に監視する
4. 契約上のフローダウン——コンポーネント供給者が自身もPDE製造業者である場合、脆弱性対処情報が自社に流れてくることを確保する
5. 既知の脆弱性があるコンポーネントの出荷禁止——既知の悪用可能な脆弱性を持つコンポーネントを出荷しないこと（配布時チェックに関するOBL-ART13-06も参照）

ENISAガイダンスおよびCRA附属書VIIに基づき、SBOMには以下を含める必要がある：

• コンポーネント名および供給者
• バージョン識別子
• コンポーネントハッシュ（完全性検証のため）
• 依存関係
• 既知のライセンス

• バージョン管理されたCycloneDXまたはSPDX形式のSBOM
• ソフトウェアコンポジション解析（SCA）スキャン結果
• コンポーネント脆弱性アセスメントの記録
• 脆弱性開示に関するコンポーネント供給者との契約条項
• サードパーティコンポーネントのCVE監視記録とパッチ/更新履歴