軟體物料清單(SBOM)
以通用機器可讀格式對軟體產品所含元件、程式庫和模組進行的正式記錄。依據 附件一第二部分,製造商須制作至少涵蓋頂層相依項的軟體物料清單。
來源引用
法律依據
歐盟法規2024/2847附件一第二部分第1(c)款規定:
"……以通用機器可讀格式制作軟體物料清單,至少涵蓋頂層相依項,以識別和 記錄產品元件,用於漏洞識別……"
最低必備內容
軟體物料清單至少須包含:
- 頂層相依項(而非完整相依樹)
- 各元件的名稱和版本
- 供應商和授權條款資訊
- 已知漏洞(CVE/VEX引用)
SBOM格式
常見機器可讀格式:
- SPDX(Software Package Data Exchange)——ISO/IEC 5962
- CycloneDX——OWASP標準
- SWID——ISO/IEC 19770-2
揭露義務
軟體物料清單須應市場監管機構要求提供。《網路韌性法》並不要求公開發布,但 網路安全最佳實務鼓勵公開。
在漏洞管理中的應用
軟體物料清單使製造商能夠在新CVE揭露時迅速識別受影響元件,從而及時提供修補程式。