从欧盟弹性法案看软件物料清单（SBOM）

随着网络安全意识的提升和相关法规的推动，SBOM在国际上网络安全实践中的重要性日益凸显。

例如：美国国土安全部（DHS）的 “软件供应链评估工具包”（SCAT）就鼓励软件供应商提供SBOM，以帮助买方评估软件的安全性；美国医疗器械上市FDA认证中，SBOM已成为重要的审核维度；欧盟网络安全局（ENISA）也在其发布的多份报告中强调了SBOM在提高网络安全透明度和促进供应链安全中的作用。

美国相关政策法规对软件SBOM的要求，网安云在之前的许多分享里面都有相关介绍和分析，今天我们将把视角转向欧盟，对欧盟弹性法案中SBOM相关条款进行分享，进一步跟大家探讨国际上对于软件物料清单的实践与对我们的启示。

01/ 欧盟弹性法案&SBOM

2022 年 9 月 15日，欧洲公布了最新的网络安全基本要求提案《网络弹性法案》，将于今年生效。

法规要求所有出口欧洲的数字产品都必须提供安全保障、软件物料清单、漏洞报告机制和为期五年的补丁更新。该提案要求企业公布软件物料清单(SBOM)，详细列出每款产品中使用的组件，以帮助制造商监控供应链并跟踪安全漏洞。

法案生效后，对于不合规行为，有关当局可能会要求改进产品或召回产品，并处以最高1,500万欧元或全球年收入的2.5%的罚款。

In order to facilitate vulnerability analysis, manufacturers should identify and document components contained in the products with digital elements, including by drawing up a software bill of materials.

——欧盟弹性法案（简称CRA）第 37 条原文，规定了制造商识别和记录软件来源的责任

1、适用对象

《网络弹性法案》适用于所有直接或间接连接到另一设备或网络的数字产品，其中，数字产品包括“任何软件或硬件产品及其远程数据处理解决方案，包括单独投放市场的软件或硬件组件”。该法案将适用于这些产品从设计阶段到淘汰阶段的整个生命周期。

2、什么样的SBOM文件符合法案要求

Manufacturers of the products with digital elements shall: (1) identify and document vulnerabilities and components contained in the product, including by drawing up a software bill of materials in a commonly used and machine-readable format covering at the very least the top-level dependencies of the product.

——附件1第2节原文中对SBOM文件的要求

① 文件机器可读

要使 SBOM 能被广泛应用，并且能被自动生成和机器可读，其交换格式则必须符合标准规范。用于生成和使用 SBOM 的数据格式包括：SPDX、CycloneDX 和 SWID 标签。

业界常用的两个标准是 SPDX 和 CycloneDX。这些标准旨在建立SBOM输出的统一性，以便当使用两个不同的 SBOM 生成工具，生成同一软件的 SBOM 时，他们能产生相同的结果。这些格式可以定制为：包含、排除或链接到某些信息，例如许可证、版权和漏洞，具体取决于用例和垂直行业。

② 包含组件基础依赖关系

SBOM除了对软件版本、类型、名称、供应商等基本信息进行展示之外，还需包含软件内部成分信息（包括但不限于：内部引用组件、许可的版本、来源、调用位置、依赖关系、层次关系等）。对软件内部成分情况的识别“颗粒度”不同，对安全问题的“洞见力”就不同。

02/ 如何生成符合欧盟弹性法案要求的SBOM文件

方式一： 0操作成本，安全专家一站式服务为您生成SBOM文件

网安云软件物料清单服务

（推荐产品海外上市网络安全审查等客户使用）

1、安全需求咨询与服务方案制定

对客户实际应用场景与需求进行深入调研，根据需求制定服务方案，包含协定服务流程与产出交付物形态（例如文件格式、规范、需要符合何种法规等）。