FDA更新SBOM相关白皮书，医疗器械SBOM面临的挑战

FDA近期在网络安全新闻和资源页面新增了关于SBOM相关的参考资料：

October 24, 2024 - Data Normalization Challenges and Mitigations in Software Bill of Materials (SBOM)Processin

2014 年，软件物料清单（SBOM, Software Bill of Materials）概念最早是一份名为《网络供应链管理与透明度法案》的提案中正式提出。

2018 年，美国商务部国家电信和信息管理局（NTIA）建立并推广软件物料清单体系，"软件物料清单"这一概念正式问世。

2021年，美国政府又发布了《行政命令14028号--加强美国网络安全》，其中要求软件供应商为其产品提供SBOM，特别强调了提升软件供应链的透明度和安全性。

2023 年，FDA发布的《医疗器械的网络安全指南：质量体系需考虑的因素和上市前需提交的材料》中明确表示 SBOM 要作为上市前提交的文档。

2024年，FDA在医疗器械领域又提出了新的相关标准，可见SBOM在医疗器械产品整个生命周期的重要性。

一、SBOM的重要性

SBOM在软件安全管理方面起到了极为重要的作用，SBOM提供了整个软件供应链的透明度，通过SBOM可以快速定位出现漏洞的组件，并且可以根据清单中的组件来源和依赖关系精确地追溯上下游组件是否受到影响，以便开发团队及时采取补救措施，有效降低安全风险。

同时，SBOM也满足相关法规和许多的行业标准要求，在医疗设备软件领域，软件需要符合相关法规，对软件的成分和组件进行准确的记录和披露，SBOM完全能满足这一需求。

在白皮书中也提到了"SBOM 是医疗器械软件安全和软件供应链风险管理的强大工具"。

二、构建SBOM面临的挑战

统一标准和格式：医疗器械制造商在使用不同的SBOM标准会存在差异，在跨平台、跨组织使用时，通常面临格式不兼容的问题，这就是不同SBOM标准之间的互操作性具有一定的局限性。

处理缺失信息：SBOM的准确性和完善性依赖于高质量的输入数据，从多个来源获取的数据可能存在不一致、缺失或错误的情况，可能导致SBOM不准确，影响后续环节。

依赖关系复杂：医疗器械配套软件通常依赖大量的第三方库和组件，于是获取SBOM的流程是一个挑战。

管理SBOM：有的软件生命周期是一个漫长的过程，甚至达到数十年之久，在软件生命周期内完整的、有效的管理SBOM也是一个挑战

工具选择：生成SBOM的工具繁多，选择合适的工具生成SBOM是一个问题。

打赏