OBL-ART13-05Binding
对软件组件尽职调查(SBOM与供应链)
- 适用于
- Manufacturer
- 来源引用
- Art. 13(5)Annex I Part I §2Annex VII
Last reviewed
通俗语言
如果您的产品使用了非您自行编写的代码——例如开源库或供应商SDK——您仍须对其安全性负责。列出您使用的所有组件,该清单称为SBOM。在发布之前检查每个组件是否存在已知漏洞,并保持清单更新。
法律文本
《欧盟法规(EU)2024/2847》第13条第5款要求,制造商应确保,在含数字元素的产品中包含非该制造商自行开发的软件组件时,制造商能够履行本法规规定的与该软件组件相关的义务。
附件I第I部分第2条进一步要求制造商识别并记录组件,并及时处理第三方组件中的漏洞。
附件VII明确要求技术文档包含SBOM——所有软件组件的机器可读清单。
主要要求
- SBOM——以公认格式编制并维护软件物料清单(CycloneDX或SPDX是与ENISA指南一致的行业标准格式)
- 组件审查——在纳入前审查第三方组件是否存在已知漏洞
- CVE/EUVD监控——在整个支持期内持续监控组件中新披露的漏洞
- 合同责任传递——若组件供应商本身是含数字元素产品的制造商,确保漏洞处置信息向上传递至您方
- 不得包含已知存在漏洞的组件——不得发布包含已知可利用漏洞的组件(另见OBL-ART13-06关于发布时检查的要求)
SBOM最低内容
根据ENISA指南和CRA附件VII,SBOM应包含:
- 组件名称和供应商
- 版本标识符
- 组件哈希值(用于完整性验证)
- 依赖关系
- 已知许可证
可能需要的证据
- 经版本控制的CycloneDX或SPDX格式SBOM
- 软件成分分析(SCA)扫描结果
- 组件漏洞评估记录
- 涵盖漏洞披露的组件供应商合同条款
- CVE监控记录及第三方组件补丁/更新历史