法规和标准要求医疗器械制造商编制软件物料清单(SBOM)。然而,标准化的 SBOM 格式并非总能满足这些要求。
特别是,不提供和使用软件 SBOM 的医疗器械制造商不再被市场接受。原因如下:
1. 软件物料清单:基础知识
a) 什么是 "软件物料清单"?
“SBOM” 一词的定义
“软件物料清单"(SBOM)是组成软件系统的软件项目(software items)的嵌套清单。制造商使用这份清单来明确说明哪些可清晰识别的组件在哪些版本中构成其软件项目(software items)。
欧盟对 "SBOM"一词的定义
EU Cyber Resilience Act, Article 3, Section 37
a formal record containing details and supply chain relationships of components included in the software elements of a product with digital elements;
SBOM 映射了软件项目(software items)的组件层次。
SBOM 与 SOUP的区别
所使用的 SBOM 和 SOUP 列表并不相同:
|
SOUP
|
SBOM
|
|
SOUP "仅"列出医疗器械本身所包含的软件项目(software items)。
|
SBOM 还可能包含医疗器械周围的系统组件,而医疗器械则依赖于这些组件。
|
|
SOUP 是一种未根据 IEC 62304 标准开发的软件。
|
SBOM 并未对此加以区分。
|
|
自行开发的软件项目是医疗器械的一部分,但不是根据 IEC 62304 标准开发的,也算作 SOUP。
|
SBOM 不区分自主开发软件的类型。
|
|
SOUP 列表一般是 "平面列表"。
|
SBOM 可包含组件的层次结构。
|
|
作为技术文档的一部分,SOUP 列表通常是一份独立的文档或其中的一部分(如软件架构(software architecture)的一部分)。
|
SBOM 具有机器可读性。
|
|
作为技术文件的一部分,SOUP 清单是一份内部文件。
|
SBOM 提供给运营商(医院等医疗服务提供商)。
|
|
SOUP 列表包含每个条目所需的属性,用于识别各自的 SOUP 组件。
|
与 SOUP 列表的元素相比,SBOM 的条目具有更多属性。例如 HASH/签名、主机组件链接、全局唯一 ID 等。
|
结论 IEC 62304 中的 SOUP 和 SBOM 都用于识别和管理软件组件。不过,它们源自不同的背景,服务于不同的目的:
-SOUP 是专门针对医疗器械软件的概念,尤其是在确保该软件的安全性和有效性方面。
-SBOM 的概念更为宽泛,各行各业都在使用它来管理软件供应链,并通过提高系统中使用的软件项目的透明度来改善网络安全。
b) SBOM 的目标是什么?
SBOM 旨在为制造商及其客户(如软件运营商)和监管机构或公告机构服务。
制造商的目标
-满足监管要求(详见下文)。
-开源软件的许可条款包括披露开源软件是器械组成部分的义务。
-制造商必须迅速发现所使用组件中的漏洞(例如,通过与 NIST 数据库进行核对)并加以修复。这就要求他们准确地知道自己的器械包含哪些组件。SBOM 使这种漏洞分析自动化成为可能。
-这些知识也有助于风险分析,尤其是 FMEA。这是因为这种分析方法首先假设器械的组件存在故障。
-制造商还必须在产品上市后阶段继续进行这种分析,特别是作为上市后监督的一部分。
-在开发过程中,了解(并定义)哪些组件用于哪些版本非常重要。版本冲突和冗余组件经常会导致软件误动作,增加故障排除的难度。因此,SBOM 成为配置管理的一部分。
-最后,SBOM 可以成为供应商管理的一部分。它将组件与供应商及其流程和设备(组件)的要求联系起来。它通过唯一标识组件并将其分配给相应的供应商,促进了制造商和供应商之间的沟通。
运营商的目标
-操作员可以使用 SBOM 来确定自己是否受到安全漏洞的影响,他们必须向制造商或 "漏洞数据库 "报告这些漏洞,并在必要时自行消除。
-在安装过程中,SBOM 对于识别和避免组件之间的版本冲突非常有用。例如,当运营商在一个平台上安装多个设备(来自多个制造商)时,就会发生此类纠纷。
主管当局和公告机构的目标
主管当局和公告机构必须确保制造商符合法规要求。
-如果制造商能提供 SBOM,这就表明其符合要求。
-如果制造商还能合理地展示它是如何(自动)创建 SBOM 的,这也表明它了解自己的系统并对配置管理进行了控制。
这两个因素都有助于主管当局和公告机构满足其自身的监管要求。
2. 监管要求
美国FDA明确要求采用 SBOM。在其他法律领域,SBOM 是必不可少的,因为它们是最先进的,没有它们就无法履行其他法律义务。
a) 欧盟要求
对医疗器械的具体要求
MDR 附录 I 第 17.2 节以及类推 IVDR 并不要求 SBOM,而 "仅"要求 IT 安全符合最新技术水平。但 SBOM 就是最新技术。
MDCG 2019-16 rev. 1 也没有明确要求使用 SBOM。不过,它确实要求进行漏洞监测。
MDCG 2019-16 rev. 1
“This may include the infield monitoring of the software’s vulnerabilities and the possibility to perform a device update (outside the context of a field safety corrective action) through, for example delivering patches to ensure the continued security of the device.”
如果没有 SBOM,就很难实现这一过程的自动化和有意义的实施。
即使是未来的统一标准 IEC 81001-5-1,也没有明确要求 SBOM。但它说
IEC 81001-5-1, note in E.2.4
“The software bill of material (SBOM) is a documentation that tracks all incorporated software.”
IEC TR 60601-4-5 针对医疗电气系统的要求,也明确适用于作为医疗器械的软件。该标准描述了 "安全材料清单":
IEC TR 60601-4-5
“A SECURITY concept related cyber SECURITY Bill of Material including but not limited to a list of commercial, open source, and off-the-shelf software and hardware components. The list should enable the target groups to effectively manage their ASSETS, to understand the potential impact of identified vulnerabilities to the MEDICAL DEVICE (and the connected IT-NETWORK), and to deploy COUNTERMEASURES to maintain the ESSENTIAL FUNCTION of the MEDICAL DEVICE.”
公告机构的解释仍然谨慎。IG-NB 的立场文件和 TEAM-NB 的立场文件均未提及 SBOM。
对所有设备的要求
Cyber Resilience Act确实将医疗器械排除在外,因为它们已经遵循垂直立法。但有趣的是,该法在 13 个段落中提到了 "软件材料清单"(SBOM)。
Cyber Resilience Act, Annex I, Section 2
Manufacturers of the products with digital elements shall: (1) identify and document vulnerabilities and components contained in the product, including by drawing up a software bill of materials in a commonly used and machine-readable format covering at the very least the top-level dependencies of the product;
为了使以前未公布的法律的实施更加切实可行,BSI(Bundesamt fur Sicherheit in der Informationstechnik)发布了 Technical Guideline TR03183。TR03183-2 部分的标题是 "软件材料清单 (SBOM)",并制定了相应的要求。这些要求可以理解为普遍适用的技术水平。
3. 总结和结论
在没有 SBOM 的情况下交付软件是不符合最新技术水平的。在美国,这是一项法定要求。
有许多工具可用于创建软件材料清单,并将其与漏洞数据库进行自动比对。
医疗器械制造商尤其必须履行其设备的 IT 安全责任。
因此,没有任何理由不使用 SBOM。
