報導摘要

美國網路安全和基礎設施安全局（CISA）近期發布了《2025 年軟體物料清單（SBOM）最低要素》的指導草案，並廣泛徵求各界公眾意見，意見回饋截止日期為 2025 年 10 月 3 日。這份新指南旨在更新 2021 年由美國國家電信和資訊管理局（NTIA）發布的版本，以因應 SBOM 工具和實施上的最新進展。CISA 的主要目標是透過更完善的軟體組成部分清單，協助組織更好地識別漏洞、管理軟體相依性並降低資安風險。新指南特別著重於確保 SBOM 資料具備可擴展性、互通性和全面性，並鼓勵各界專家提供回饋，以共同完善 SBOM 的最佳實踐，強化全球軟體供應鏈的防護能力。

1. 背景與 SBOM 的重要性

軟體物料清單（Software Bill of Materials，簡稱 SBOM）是一種「軟體成分表」，詳細列出構成特定軟體的所有開源與商用元件。隨著現代軟體架構日益複雜，單一漏洞可能在多個產品中傳播，使得供應鏈攻擊成為重大的資安威脅。SBOM 的出現正是為了應對此挑戰，它為軟體使用者提供了透明度，使其能夠在軟體生命週期的各個階段，即時掌握潛在風險。

這份更新指南的發布，是為了回應拜登總統在 2021 年簽署的《改善國家網路安全》行政命令，該命令要求供應聯邦政府的軟體廠商必須提供 SBOM。自 2021 年 NTIA 的指南發布以來，SBOM 工具和實踐已趨於成熟，因此 CISA 認為有必要更新現行標準，以反映這些進展並進一步提升軟體供應鏈的安全水平。

2. 2025 年指南的更新重點

CISA 的新草案在 2021 年指南的基礎上進行了多項重要改進，旨在讓 SBOM 更具備實用性和自動化能力。主要的更新內容包括：

• 資料欄位優化： 新指南對原有的資料欄位進行了細化，並加入新的最低要素，例如元件雜湊值（component hash）、授權資訊（license）、用於產生 SBOM 的工具名稱，以及生成背景（generation context）等。這些新元素有助於更精確地追蹤和驗證軟體元件。
• 支援新技術： 新指南考慮了雲端服務和人工智慧（AI）軟體等新興技術的 SBOM 實施，為這些領域提供了更明確的指引，確保軟體透明度能涵蓋廣泛的技術生態系。
• 提升實踐標準： CISA 鼓勵採用廣泛使用的、具備互通性和機器可讀性的 SBOM 格式，並建議用戶不應接受任何已過時版本的格式，以提高資料的品質和可用性。

3. 徵求公眾意見的意義與影響

CISA 之所以公開徵求意見，是希望從軟體開發商、資安專家、學術界、公共利益團體等各方獲取寶貴回饋。CISA 特別希望了解：

• 是否有任何最低要素應被移除？
• 是否應增加其他必要元素？
• 指南中的定義和流程是否足夠清晰，能夠支援自動化作業？
• 在特定技術或領域（例如 OT/ICS 或醫療設備）中，這些最低要求是否可行？

這些意見將有助於 CISA 制定出更全面、更具彈性的最終版指南，並確保其適用於廣泛的行業與技術環境。對企業而言，這項更新預示著未來對軟體供應鏈透明度的要求將會越來越高。主動了解並遵循 CISA 的新指南，不僅能強化自身的資安防護，也能滿足未來法規要求，從而提升企業在市場上的競爭力與信任度。

資料來源：https://www.securityweek.com/cisa-requests-public-feedback-on-updated-sbom-guidance/