OBL-ART13-05Binding
對軟體元件進行盡職調查(SBOM及供應鏈)
- 適用於
- Manufacturer
- 來源引用
- Art. 13(5)Annex I Part I §2Annex VII
Last reviewed
通俗語言
如果您的產品使用了您未自行撰寫的程式碼——例如開源程式庫或供應商SDK——您仍需對其安全性 負責。列出您使用的所有元件清單,此清單稱為SBOM。在出貨前檢查每個元件是否存在已知漏洞。 保持清單更新。
法律條文
《歐盟法規》(EU) 2024/2847 第13條第(5)款要求,製造商應確保,在含數位元素之產品中包含的 軟體元件並非由該製造商開發的情況下,製造商能夠就該軟體元件履行本法規規定的義務。
附件I第I部分第2條強化了這一要求,要求製造商識別和記錄元件,並無不當延遲地處理第三方 元件中的漏洞。
附件VII明確要求技術文件包含SBOM——所有軟體元件的機器可讀清單。
主要要求
- SBOM — 以公認格式編制並維護軟體物料清單 (CycloneDX或SPDX是與ENISA指南一致的行業標準格式)
- 元件審查 — 在納入前審查第三方元件的已知漏洞
- CVE/EUVD監控 — 在整個支援期間持續監控元件新揭露的漏洞
- 合約流轉 — 若元件供應商本身是含數位元素之產品製造商,確保漏洞處理資訊向上流轉至您
- 不得發布已知漏洞的元件 — 不得出貨含已知可利用漏洞的元件(另見OBL-ART13-06關於 交付時的檢查)
SBOM最低內容
根據ENISA指南和CRA附件VII,SBOM應包含:
- 元件名稱和供應商
- 版本識別符
- 元件雜湊值(用於完整性驗證)
- 依賴關係
- 已知授權條款
可能需要的證據
- 版本控制的CycloneDX或SPDX格式SBOM
- 軟體組合分析(SCA)掃描結果
- 元件漏洞評估記錄
- 與元件供應商涵蓋漏洞揭露的合約條款
- 第三方元件的CVE監控記錄及修補/更新歷史