提供軟件材料清單 (SBOM) 對于證明醫(yī)療器械的網(wǎng)絡(luò)安全穩(wěn)健性越來越重要��。FDA 現(xiàn)在要求網(wǎng)絡(luò)設(shè)備提供 SBOM�����,承認(rèn)其在管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面的價(jià)值。
我們經(jīng)?�?吹降呐c SBOM 有關(guān)的反對意見是:"you did not provide a software bill of materials (SBOM), including commercial, open-source, and OTS software components as required by section 524B(b)(3) of the FD&C Act."
這強(qiáng)調(diào)了為適用設(shè)備提供 SBOM 的強(qiáng)制性��。它不再是一個(gè) "可有可無"的東西���,而是提交材料的關(guān)鍵組成部分��。
FDA 指南 "Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions"的 FDA 指南詳細(xì)說明了 SBOM 對于管理供應(yīng)鏈風(fēng)險(xiǎn)的重要性(第 17 頁)�����。健全的 SBOM 包括設(shè)備制造商開發(fā)的組件和第三方組件的信息,包括購買/許可和開源軟件�����。
確保 SBOM 包括:
- 組件標(biāo)識(shí):每個(gè)軟件組件的名稱、版本和供應(yīng)商��。
- 依賴關(guān)系:不同軟件組件之間的關(guān)系��。
- 漏洞信息:與每個(gè)組件相關(guān)的已知漏洞。
- 已知壽命終止日期:SBOM 組件的已知壽命終止日期�����。對于有大量開放源代碼庫且沒有公布結(jié)束日期的軟件��,這可能不切實(shí)際。向 FDA 說明理由���。
全面、結(jié)構(gòu)合理的 SBOM 不僅有助于 FDA 評估設(shè)備的網(wǎng)絡(luò)安全狀況��,還有助于提高醫(yī)療器械生態(tài)系統(tǒng)的透明度和信任度��。
京公網(wǎng)安備11010802046783號