软件物料清单(SBOM)
以通用机器可读格式对软件产品所含组件、库和模块进行的正式记录。依据附件一 第二部分,制造商须制作至少涵盖顶层依赖项的软件物料清单。
来源引用
法律依据
欧盟法规2024/2847附件一第二部分第1(c)款规定:
"……以通用机器可读格式制作软件物料清单,至少涵盖顶层依赖项,以识别和 记录产品组件,用于漏洞识别……"
最低必备内容
软件物料清单至少须包含:
- 顶层依赖项(而非完整依赖树)
- 各组件的名称和版本
- 供应商和许可证信息
- 已知漏洞(CVE/VEX引用)
SBOM格式
常见机器可读格式:
- SPDX(Software Package Data Exchange)——ISO/IEC 5962
- CycloneDX——OWASP标准
- SWID——ISO/IEC 19770-2
披露义务
软件物料清单须应市场监管机构要求提供。《网络弹性法》并不要求公开发布,但 网络安全最佳实践鼓励公开。
在漏洞管理中的应用
软件物料清单使制造商能够在新CVE披露时迅速识别受影响组件,从而及时提供补丁。