TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > 法律: サイバーレジリエンス法 / EU CRA > EUサイバーレジリエンス法を満たすSBOM依存関係の記述方法の考察

EUサイバーレジリエンス法を満たすSBOM依存関係の記述方法の考察

法律: サイバーレジリエンス法 / EU CRA SBOM / Software Bill of Materials ブログ: NECセキュリティブログ ベンダー: NEC

【要点】

◎EU CRAはSBOMで少なくとも最上位依存関係の記述を要求。CycloneDXでの表現例を示し、複数OS対応や同梱/非同梱での記述の難しさを考察 (平田 純(NECセキュリティブログ))


【要約】

EUサイバーレジリエンス法(CRA、2024年12月発効・2027年完全施行)は、デジタル要素を含む製品についてSBOMを機械可読形式で作成し「最上位レベルの依存関係」を少なくとも網羅することを求める。具体手法が条文で明確でないため、BSI TR-03183-2等を参照しCycloneDXのdependencies(ref/dependsOn、bom-ref)で依存関係を記述する例を提示。悩ましい点として①複数OS対応はSBOMをOS別に分割しないと“同時依存”に見える、②OpenSSLの同梱/非同梱は依存関係だけでは区別できずsupplier/manufacturer等で補う必要を指摘。


【ブログ】

◆EUサイバーレジリエンス法を満たすSBOM依存関係の記述方法の考察 (平田 純(NECセキュリティブログ), 2026/01/23)
https://jpn.nec.com/cybersecurity/blog/260123/index.html


【関連まとめ記事】

全体まとめ

◆NECセキュリティブログ (まとめ)
https://vul.hatenadiary.com/entry/NEC_Security_Blog

◆SBOM (まとめ)
https://vul.hatenadiary.com/entry/SBOM

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022