本文主要是介绍从欧盟弹性法案看软件物料清单(SBOM),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
随着网络安全意识的提升和相关法规的推动,SBOM在国际上网络安全实践中的重要性日益凸显。
例如:美国国土安全部(DHS)的 “软件供应链评估工具包”(SCAT)就鼓励软件供应商提供SBOM,以帮助买方评估软件的安全性;美国医疗器械上市FDA认证中,SBOM已成为重要的审核维度;欧盟网络安全局(ENISA)也在其发布的多份报告中强调了SBOM在提高网络安全透明度和促进供应链安全中的作用。
美国相关政策法规对软件SBOM的要求,网安云在之前的许多分享里面都有相关介绍和分析,今天我们将把视角转向欧盟,对欧盟弹性法案中SBOM相关条款进行分享,进一步跟大家探讨国际上对于软件物料清单的实践与对我们的启示。
01/ 欧盟弹性法案&SBOM
2022 年 9 月 15日,欧洲公布了最新的网络安全基本要求提案《网络弹性法案》,将于今年生效。
法规要求所有出口欧洲的数字产品都必须提供安全保障、软件物料清单、漏洞报告机制和为期五年的补丁更新。该提案要求企业公布软件物料清单(SBOM),详细列出每款产品中使用的组件,以帮助制造商监控供应链并跟踪安全漏洞。
法案生效后,对于不合规行为,有关当局可能会要求改进产品或召回产品,并处以最高1,500万欧元或全球年收入的2.5%的罚款。
"
In order to facilitate vulnerability analysis, manufacturers should identify and document components contained in the products with digital elements, including by drawing up a software bill of materials.
——欧盟弹性法案(简称CRA)第 37 条原文,规定了制造商识别和记录软件来源的责任
"
1、适用对象
《网络弹性法案》适用于所有直接或间接连接到另一设备或网络的数字产品,其中,数字产品包括“任何软件或硬件产品及其远程数据处理解决方案,包括单独投放市场的软件或硬件组件”。该法案将适用于这些产品从设计阶段到淘汰阶段的整个生命周期。
2、 什么样的SBOM文件符合法案要求
"
Manufacturers of the products with digital elements shall: (1) identify and document vulnerabilities and components contained in the product, including by drawing up a software bill of materials in a commonly used and machine-readable format covering at the very least the top-level dependencies of the product.
——附件1第2节原文中对SBOM文件的要求
"
① 文件机器可读
要使 SBOM 能被广泛应用,并且能被自动生成和机器可读,其交换格式则必须符合标准规范。用于生成和使用 SBOM 的数据格式包括 :SPDX、CycloneDX 和 SWID 标签。
业界常用的两个标准是 SPDX 和 CycloneDX。这些标准旨在建立SBOM输出的统一性,以便当使用两个不同的 SBOM 生成工具,生成同一软件的 SBOM 时,他们能产生相同的结果。这些格式可以定制为:包含、排除或链接到某些信息,例如许可证、版权和漏洞,具体取决于用例和垂直行业。
② 包含组件基础依赖关系
SBOM除了对软件版本、类型、名称、供应商等基本信息进行展示之外,还需包含软件内部成分信息(包括但不限于:内部引用组件、许可的版本、来源、调用位置、依赖关系、层次关系等)。对软件内部成分情况的识别“颗粒度”不同,对安全问题的“洞见力”就不同。
02/ 如何生成符合欧盟弹性法案要求的SBOM文件
方式一: 0操作成本,安全专家一站式服务为您生成SBOM文件
网安云软件物料清单服务
(推荐产品海外上市网络安全审查等客户使用)
1、安全需求咨询与服务方案制定
对客户实际应用场景与需求进行深入调研,根据需求制定服务方案,包含协定服务流程与产出交付物形态(例如文件格式、规范、需要符合何种法规等)。
2、第三方组件安全检测
自研第三方组件安全工具与安全专家分析相结合,产出软件第三方组件安全检测结果,根据需求可生成专业化检测报告。
3、 软件物料清单(SBOM)相关文件生成
导出国际三大物料清单格式,也可支持其他更多字段,满足美国NIST发布的指南Framing Software Component Transparency: Establishing a Common Software Bill of Materials (SBOM)的要求,导出文件机器可读。
网安云,目针对医疗器械海外国内注册、变更推出网络安全解决方案,专业安全专家与法规研究团队对国内、美国、欧盟等国家医疗器械注册网络安全要求进行深入钻研,为客户定制化网络安全方案,帮助客户为设备注册、上市出具符合法规要求的网络安全文件。
点击了解更多。
医疗器械网络安全顾问http://www.wanyun.cn/Support%3Fshare%3D24315_ea8a0e47-b38d-4cd6-8ed1-9e7711a8ad5e
这篇关于从欧盟弹性法案看软件物料清单(SBOM)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!