CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL
OBL-ART13-05Binding

Należyta staranność wobec komponentów oprogramowania (SBOM i łańcuch dostaw)

Dotyczy
Manufacturer
Cytowania źródeł
Art. 13(5)Annex I Part I §2Annex VII
Last reviewed

Prosty język

Jeżeli produkt korzysta z kodu, którego producent nie napisał — takich jak biblioteki open source lub zestawy SDK dostawcy — producent nadal ponosi odpowiedzialność za jego bezpieczeństwo. Należy sporządzić listę wszystkich używanych elementów. Lista ta nosi nazwę SBOM. Przed wydaniem produktu należy sprawdzić każdy element pod kątem znanych błędów. Listę należy aktualizować.

Tekst prawny

Artykuł 13 ust. 5 rozporządzenia (UE) 2024/2847 wymaga, aby producenci zapewnili, że w przypadku gdy komponent oprogramowania włączony do produktu z elementami cyfrowymi nie został opracowany przez tego producenta, producent jest w stanie wypełnić swoje obowiązki wynikające z niniejszego rozporządzenia w odniesieniu do takiego komponentu oprogramowania.

Wymóg ten wzmocniony jest przez Załącznik I Część I §2, który nakłada na producentów obowiązek identyfikowania i dokumentowania komponentów oraz usuwania podatności w komponentach stron trzecich bez zbędnej zwłoki.

Załącznik VII wyraźnie wymaga, aby dokumentacja techniczna zawierała SBOM — czytelny maszynowo wykaz wszystkich komponentów oprogramowania.

Kluczowe wymagania

  1. SBOM — sporządzenie i prowadzenie zestawienia składników oprogramowania w uznanym formacie (CycloneDX lub SPDX to standardowe formaty branżowe zgodne z wytycznymi ENISA)
  2. Weryfikacja komponentów — przegląd komponentów stron trzecich pod kątem znanych podatności przed ich włączeniem
  3. Monitorowanie CVE/EUVD — ciągłe monitorowanie komponentów pod kątem nowo ujawnionych podatności przez cały okres wsparcia
  4. Przepływ obowiązków umownych — tam, gdzie dostawca komponentu jest sam producentem PEC, zapewnić przepływ informacji o obsłudze podatności
  5. Zakaz wysyłania komponentów z podatnościami — nie wolno dostarczać komponentów ze znanymi możliwymi do wykorzystania podatnościami (patrz też OBL-ART13-06)

Minimalna zawartość SBOM

Zgodnie z wytycznymi ENISA i Załącznikiem VII CRA, SBOM powinien zawierać:

  • Nazwę komponentu i dostawcę
  • Identyfikator wersji
  • Skrót komponentu (do weryfikacji integralności)
  • Relacje zależności
  • Znane licencje

Dokumenty, które mogą być wymagane

  • SBOM w formacie CycloneDX lub SPDX, z kontrolą wersji
  • Wyniki skanowania składu oprogramowania (SCA)
  • Zapisy ocen podatności komponentów
  • Postanowienia umowne z dostawcami komponentów obejmujące ujawnianie podatności
  • Zapisy monitorowania CVE i historia poprawek/aktualizacji komponentów stron trzecich
Należyta staranność wobec komponentów oprogramowania (SBOM i łańcuch dostaw) — Hub zgodności CRA