SBOM概念再演進 CISA公布2025軟體物料清單最低所需元素指引草案

(中央社訊息服務20251106 09:57:16)美國網路安全暨基礎設施安全局（CISA）於2025年8月22日推出《2025軟體物料清單（SBOM）最低所需元素》指引草案，並向公眾徵求修正意見，以利順利擴張推動實施軟體物料清單（Software Bill of Materials，SBOM）之範圍，並將其與整體資安管理機制有效整合，應對可供機器處理的資料格式需求。本次草案調整過去已由國家電信暨資訊管理局（National Telecommunications and Information Administration，NTIA）公布之SBOM最低所需元素項目（The Minimum Elements For a Software Bill of Materials（SBOM）），並因應現今實務需求另行新增部分最低所需元素項目。

自美國前總統拜登於2021年5月簽署總統行政命令14028號（Executive Order on Improving the Nation’s Cybersecurity，EO14028）中裁示商務部應與NTIA協調並公布SBOM最低所需元素文件以來，伴隨公、私部門愈加重視並廣泛採用SBOM，截至現今，相關技術、工具功能之演進已遠超2021年時的技術水準，SBOM逐漸產生新案例與應用方向，使對SBOM有需求的機構得以要求更多關於軟體元件與供應鏈的資訊。

本次CISA所提出之SBOM最低所需元素指引草案，於元件基礎資訊之資料欄位（Data Fields），主要新增可協助驗證資料完整、未受竄改的「元件雜湊值（Component Hash）」、該軟體元件所適用的各種「授權資訊（License）」、用以生成該SBOM之軟體「工具名稱（Tool Name）」，及顯示軟體生命週期中，產製SBOM時所處階段與可得資訊之「生成背景（Generation Context）」等。

此外，CISA亦調整原先NTIA所訂之最低所需元素項目，如將實務運用中易與軟體經銷商混淆之供應商名稱（Supplier Name）以軟體製造者（Software Producer）替換之；SBOM產表作者（Author of SBOM Data）以通用語SBOM Author替換之，以準確表達產出該 SBOM實體之角色定位；元件版本（Version of the Component）以Component Version替換之，並指出若軟體製造者未提供版本，則 SBOM 編製者得以檔案建立日期替代；其他唯一識別碼（Other Unique Identifiers）以軟體識別碼（Software Identifiers）替換之，並規定至少應包含一項與該軟體元件相關之軟體識別碼，及新增部分識別碼類型供指引使用者參考。除上述各項外，尚有軟體元件名稱（Component Name）、軟體供應鏈關係（Dependency Relationship）及時戳（Timestamp）則未更動原用語，僅更新或補充相關說明。

資策會科法所表示，利用漏洞管理工具分析SBOM，助益公、私部門迅速洞悉軟體安全風險，並及時做出決策、執行漏洞修補以降低個人或組織資產損失風險，已成為目前資安相關風險管理舉措中的重要選項。國際上具代表性之資安相關單位如CISA，亦持續關注SBOM在雲端環境、AI發展趨勢下的操作方式，並研議SBOM本身之驗證方式，以提升其可信度。伴隨SBOM在資安領域日益提升的關鍵地位，相關機制之具體運作及後續推行方式，為值得持續加以追蹤的重要趨勢方向。