Rejestr składników oprogramowania (SBOM)
Formalny wykaz komponentów, bibliotek i modułów zawartych w produkcie programowym, sporządzony w powszechnie stosowanym i czytelnym maszynowo formacie. Na podstawie Załącznika I Część II CRA producenci muszą sporządzić SBOM obejmujący co najmniej zależności najwyższego poziomu ich produktu.
Cytowania źródeł
Podstawa prawna
Załącznik I Część II pkt 1 Rozporządzenia (UE) 2024/2847 wymaga, aby producenci:
«sporządzili i utrzymywali zestawienie materiałów dotyczące oprogramowania w powszechnie stosowanym i czytelnym maszynowo formacie obejmujące co najmniej zależności najwyższego poziomu produktu z elementami cyfrowymi».
Zawartość SBOM
SBOM sporządzony na potrzeby CRA powinien zawierać co najmniej:
- Nazwę i wersję każdego dołączonego komponentu programowego
- Identyfikator licencji (SPDX lub równoważny)
- Relacje (zależności) między komponentami
- Informacje o pochodzeniu (ze źródła lub rejestru pakietów)
Popularne formaty SBOM
| Format | Organizacja | Zastosowanie |
|---|---|---|
| SPDX | Linux Foundation | ISO 5962:2021 |
| CycloneDX | OWASP | Wsparcie dla narzędzi bezpieczeństwa |
| SWID | ISO/IEC | Identyfikacja zainstalowanego oprogramowania |
Ujawnianie
Producenci nie mają obowiązku publicznego ujawniania SBOM, ale muszą udostępniać go organom nadzoru rynku na żądanie.