提供软件材料清单 (SBOM) 对于证明医疗器械的网络安全稳健性越来越重要。FDA 现在要求网络设备提供 SBOM，承认其在管理网络安全风险方面的价值。

 

我们经常看到的与 SBOM 有关的反对意见是："you did not provide a software bill of materials (SBOM), including commercial, open-source, and OTS software components as required by section 524B(b)(3) of the FD&C Act."

这强调了为适用设备提供 SBOM 的强制性。它不再是一个 "可有可无"的东西，而是提交材料的关键组成部分。

FDA 指南 "Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions"的 FDA 指南详细说明了 SBOM 对于管理供应链风险的重要性（第 17 页）。健全的 SBOM 包括设备制造商开发的组件和第三方组件的信息，包括购买/许可和开源软件。

 

确保 SBOM 包括：

- 组件标识：每个软件组件的名称、版本和供应商。

- 依赖关系：不同软件组件之间的关系。

- 漏洞信息：与每个组件相关的已知漏洞。

- 已知寿命终止日期：SBOM 组件的已知寿命终止日期。对于有大量开放源代码库且没有公布结束日期的软件，这可能不切实际。向 FDA 说明理由。

 

全面、结构合理的 SBOM 不仅有助于 FDA 评估设备的网络安全状况，还有助于提高医疗器械生态系统的透明度和信任度。

 

来源：MDR小能手

关键词： 网络设备 软件材料清单 SBOM