Gepaste zorgvuldigheid betrachten ten aanzien van softwarecomponenten (SBOM en toeleveringsketen)
- Van toepassing op
- Manufacturer
- Bronvermeldingen
- Art. 13(5)Annex I Part I §2Annex VII
- Productklassen
- DefaultImportant — Class IImportant — Class IICritical
Eenvoudige taal
Als uw product gebruikmaakt van code die u niet zelf heeft geschreven — zoals open-sourcebibliotheken of leveranciers-SDK's — bent u nog steeds verantwoordelijk voor de beveiliging ervan. Maak een lijst van alle onderdelen die u gebruikt. Deze lijst wordt een SBOM genoemd. Controleer elk onderdeel op bekende fouten voordat u levert. Houd de lijst actueel.
Wettekst
Artikel 13(5) van Verordening (EU) 2024/2847 vereist dat fabrikanten ervoor zorgen dat, wanneer een softwarecomponent die in een product met digitale elementen is opgenomen niet door die fabrikant is ontwikkeld, de fabrikant in staat is zijn verplichtingen uit hoofde van deze Verordening ten aanzien van die softwarecomponent na te komen.
Dit wordt bevestigd door Bijlage I Deel I §2, dat vereist dat fabrikanten componenten identificeren en documenteren, en kwetsbaarheden in componenten van derden zonder onnodige vertraging aanpakken.
Bijlage VII vereist uitdrukkelijk dat de technische documentatie een SBOM bevat — een machineleesbare inventaris van alle softwarecomponenten.
Belangrijkste vereisten
- SBOM — een software bill of materials opstellen en bijhouden in een erkend formaat (CycloneDX of SPDX zijn de industriestandaardformaten die zijn afgestemd op de ENISA-richtlijnen)
- Componentbeoordeling — componenten van derden controleren op bekende kwetsbaarheden vóór opname
- CVE/EUVD-monitoring — componenten continu monitoren op nieuw bekendgemaakte kwetsbaarheden gedurende de ondersteuningsperiode
- Contractuele doorstroming — wanneer een componentleverancier zelf een PDE-fabrikant is, ervoor zorgen dat informatie over kwetsbaarheidsafhandeling naar u doorstroomt
- Geen bewust kwetsbare componenten — geen componenten met bekende uitbuitbare kwetsbaarheden leveren (zie ook OBL-ART13-06 over controles op het moment van levering)
Minimale inhoud van de SBOM
Conform de ENISA-richtlijnen en CRA Bijlage VII moet de SBOM bevatten:
- Componentnaam en leverancier
- Versie-identificator
- Component-hash (voor integriteitsverificatie)
- Afhankelijkheidsrelaties
- Bekende licentie
Bewijsmateriaal dat u mogelijk nodig heeft
- SBOM in CycloneDX- of SPDX-formaat, versiebeheerd
- Scanresultaten van software composition analysis (SCA)
- Verslagen van componentkwetsbaarheidsbeoordelingen
- Contractuele bepalingen met componentleveranciers over kwetsbaarheidsopenbaarmaking
- CVE-monitoringverslagen en patch-/updategeschiedenis voor componenten van derden