医疗器械FDA认证 | 网络安全审查中SBOM为什么那么重要

在当今这个高度互联的世界，医疗器械的安全性和可靠性对于保障公众健康至关重要。FDA作为美国食品和药物的主要监管机构，长期以来一直致力于确保医疗器械的安全性和有效性。

2023年9月27日，美国食品和药品监督管理局（后续简称FDA）发布了《医疗器械的网络安全指南：质量体系需考虑的因素和上市前需提交的材料》。医疗器械产品设备进入美国市场前，需提交用于证明设备有效性及安全性的材料（即上市前提交材料）。

《指南》为众多医疗器械生产商提供了上市前提交材料（主要是安全性方面）的内容建议。对于想要通过FDA认证并进入美国市场的厂商来说，是非常重要的参考来源。

而其中则反复提及SBOM文件（软件物料清单）对医疗器械企业"自证产品网络安全性"的重要性：

1、 安全风险管理与SBOM

为了为记录医疗器械系统的安全风险管理活动，FDA 建议制造商制定安全风险管理计划和报告，对于安全风险管理报告，FDA在《指南》中明确建议在 安全风险管理报告中，需包含SBOM。

2、 第三方软件与SBOM

医疗器械纳入第三方软件时，软件的安全风险应成为整个医疗器械系统风险管理计划中的一部分，而SBOM 是一种有助于管理供应链风险以及明确识别和跟踪设备所含软件的重要工具。

3、 网络安全透明度与SBOM

对于网络安全透明度来说，持续性的信息更新是一项重要指标。当软件组件发生了版本的变更或者更替，那么其对应的风险也将产生变化，所以《指南》建议制造商定期更新SBOM。

那为何FDA如此关注SBOM呢？

开源软件的泛用，使得大多数公司对采购软件的安全性和合规性，处于更加未知或模糊的状态。因此，为了更好地制定第三方软件安全风险管理决策，就需要清晰洞察软件内部组成成分。而SBOM（软件物料清单）就是其中的"灵丹妙药"，其最具价值的方面，就是提升软件内部成分的可见性。

医疗器械行业的创新发展，离不开对开源软件的应用与拓展，因此通过SBOM对提升第三方软件安全合规的可控性就显得尤为重要。