Software-stuklijst (SBOM)
Een formeel overzicht van de componenten, bibliotheken en modules in een softwareproduct, opgesteld in een gangbaar en machineleesbaar formaat. Op grond van Bijlage I Deel II van de CRA moeten fabrikanten een SBOM opstellen die ten minste de afhankelijkheden van het hoogste niveau van hun product omvat.
Bronvermeldingen
Wettekst
Bijlage I Deel II, punt 1 van Verordening (EU) 2024/2847 vereist dat fabrikanten:
«een softwarestuklijst in een gangbaar en machineleesbaar formaat opstellen en bijhouden voor de bovenkant van de afhankelijkheidsboom van het product met digitale elementen».
SBOM-inhoud
Een SBOM voor de CRA moet ten minste bevatten:
- De naam en versie van elk opgenomen softwarecomponent
- De licentie-identifier (SPDX of vergelijkbaar)
- Relaties (afhankelijkheden) tussen componenten
- Informatie over de herkomst (van de bron of het pakketregister)
Gangbare SBOM-formaten
| Formaat | Organisatie | Gebruik |
|---|---|---|
| SPDX | Linux Foundation | ISO 5962:2021 |
| CycloneDX | OWASP | Ondersteuning voor beveiligingstools |
| SWID | ISO/IEC | Identificatie van geïnstalleerde software |
Openbaarmaking
Fabrikanten zijn niet verplicht de SBOM openbaar te maken, maar moeten deze op verzoek beschikbaar stellen aan de markttoezichtautoriteiten.