CRA合規
02.Jul.2026

你的產品裡有什麼?當法規與客戶同時在問

分享:
CRA 合規系列文章 第五篇(高層版)

SBOM 正在成為跨產業合規與供應鏈信任的基礎建設


30 秒重點
SBOM(Software Bill of Materials,軟體物料清單)正從「自主選擇」逐步成為各市場的合規基礎項目。歐盟 CRA、美國 FDA 醫療器材法規、汽車業 UN R155/R156 同時將 SBOM 列為合規基礎。這不是單一法規的個案,而是全球監管趨勢的匯流。對台灣 OEM/ODM 而言,SBOM 能力正在成為跨產業、跨市場的基礎建設——建立一次,多線受益。
 

一、三大法規同時要求 SBOM:這不是巧合,是趨勢

過去兩年,全球三個主要市場的監管機構不約而同地將 SBOM 列為產品安全的核心要求。這個趨勢值得高層關注,因為它意味著 SBOM 不再是特定產業的合規項目,而是跨市場的基礎能力。
  歐盟 CRA 美國 FDA 汽車 UN R155/R156
適用範圍 所有含數位元素產品 含軟體的醫療器材 具備連網功能的車輛及零組件
SBOM 要求 Annex I 要求識別與記錄所有元件及其漏洞;通報義務需仰賴 SBOM 判斷影響範圍 FDA 510(k)/PMA 送審需附 SBOM;需涵蓋商用、開源、自研元件 CSMS 要求識別與管理軟體供應鏈風險;型式認證需證明漏洞監控能力
格式要求 機器可讀格式(ENISA 建議 CycloneDX/SPDX) FDA 接受 SPDX 與 CycloneDX 尚無統一格式要求,實務以 SPDX/CycloneDX 為主
合規時程 2026/09 通報義務生效;2027/12 完整合規 已生效(Refuse to Accept 政策) 已生效(新車型需通過 CSMS 認證)
台灣廠商影響 所有出口歐盟的 ICT/IoT/工業產品 醫療器材代工/自有品牌 車用電子零組件(ADAS、T-Box、IVI 等)

關鍵觀察:如果您的產品同時涉及歐盟市場(CRA)、美國醫療(FDA)或車用供應鏈(R155/R156),SBOM 能力是共通的基礎。投入一次建設,可以同時滿足多條法規與多個客戶的要求。 

 

二、供應鏈的趨勢:客戶已經在問了

法規是驅動力之一,而對台灣 OEM/ODM 而言,更直接的驅動力來自供應鏈的需求變化。
  • 歐洲品牌客戶:為準備 CRA 合規,已開始在 RFQ 和年度供應商審查中將 SBOM 列為評估項目。能主動提供 SBOM 的供應商,在合作關係中更具競爭優勢。
  • 美國醫療器材客戶:FDA 已將 SBOM 列為送審文件的標準項目(「Refuse to Accept」政策)。醫療器材代工廠若能在產品開發階段就同步建立 SBOM,送審效率將大幅提升。
  • 車用 Tier-1 客戶:為通過 CSMS(Cybersecurity Management System)認證,車廠要求零組件供應商提供軟體成分清單與漏洞管理證據。

共通的模式是:終端品牌客戶承擔法規義務,但履行義務所需的資料——SBOM、漏洞紀錄、安全測試結果——都在供應鏈上游的台灣廠商手中。具備這些能力的供應商,自然成為客戶優先合作的對象。
你的產品裡有什麼?當法規與客戶同時在問
 

三、因應方案不只一種:從人工管理到工具化

面對 SBOM 要求,廠商的因應方式大致可分為三個層次:
因應方式 做法 適用情境與限制
人工盤點 由 RD 手動整理開源元件清單,以 Excel 或文件形式交付 適合產品數量少、軟體複雜度低的情境。但較難追蹤間接依賴,持續更新效率較低
委外服務 委託第三方機構執行 SCA 掃描並產出 SBOM,搭配漏洞比對分析 適合尚未建立內部工具能力的廠商。可快速取得合規文件,同時學習方法論
工具化(內建) 導入 SCA 工具整合至 CI/CD 流程,每次建置自動產出 SBOM 並比對漏洞資料庫 適合產品線多、版本迭代快、客戶要求持續更新的廠商。初期投入較高,但長期效率最佳

務實的建議:多數台灣廠商的合理路徑是「先委外、後內建」。先透過委外服務取得第一版 SBOM 並滿足客戶的立即需求,同時學習方法論與工具選型,再逐步將 SBOM 產出能力內建到開發流程中。

 

四、工具化的優勢:為什麼規模化之後需要工具

當產品數量增加、版本迭代加快、客戶要求持續更新時,人工管理 SBOM 會遇到明確的瓶頸。工具化帶來的核心優勢包括:
  • 完整性:自動掃描可識別直接依賴與間接(transitive)依賴,覆蓋人工盤點容易遺漏的深層元件。CRA 與 FDA 都要求涵蓋完整的軟體供應鏈。
  • 持續性:整合 CI/CD 後,每次建置自動更新 SBOM。當新的 CVE 揭露時,可以即時比對現有 SBOM,判斷是否受影響——這正是 CRA 通報義務的核心需求。
  • 標準化:工具可直接輸出 SPDX 或 CycloneDX 機器可讀格式,滿足不同法規與客戶對格式的要求,避免人工轉換的錯誤與工時。
  • 可追溯性:工具記錄每個版本的 SBOM 歷史,在面對監管機關稽核或客戶審查時,可以提供完整的軟體供應鏈追溯紀錄。 

 

 

五、工具選型:高層需要瞭解的關鍵考量

工具選型的技術細節可以交給工程與合規團隊。但以下幾個方向性決策需要高層瞭解:
考量維度 問題 影響
開源 vs. 商業工具 開源工具(如 Syft、cdxgen)免授權費但需自行維護;商業工具(如 Snyk、Black Duck)提供完整支援但有年度授權成本 預算與內部維運能力的平衡決策
產出 vs. 全生命週期 「SBOM 產出工具」只負責生成清單;「全生命週期平台」還包含漏洞比對、授權合規、持續監控 取決於您的需求是交出一份文件,還是建立持續的漏洞管理能力
語言與建置環境支援 不同工具對程式語言和建置系統的支援程度不同(C/C++ 尤其需要注意) 務必以實際產品程式碼做概念驗證(PoC),避免選錯工具
多法規覆蓋能力 您的產品如果同時面對 CRA、FDA、R155/R156,工具需要能輸出符合不同法規需求的 SBOM 格式與深度 一次投入、多線使用的效益最大化
 

六、提前準備的廠商正在建立結構性優勢

SBOM 能力不只是合規成本。已有廠商將其轉化為供應鏈議價能力:
  • 供應商評選優勢:在歐洲品牌客戶的供應商評選中,能主動提供 SBOM 與漏洞管理證據的台灣廠商,直接進入短名單。這是建立供應鏈差異化定位的有效途徑。
  • 跨產業複用:為 CRA 建立的 SBOM 能力,可以直接服務 FDA 醫療器材客戶和車用客戶的需求。一次建設、三線受益。
  • 縮短上市時間:將 SBOM 產出整合到開發流程後,每次產品送審或客戶審查所需的準備時間大幅縮短,直接加速業務推進。
 

七、下一步

SBOM 準備的第一步是瞭解現況:您的產品軟體成分透明度在哪個位置、不同產品線分別面對哪些法規要求、目前的準備方式是否足以因應未來的規模需求。

DEKRA Onward Security 可以協助的具體服務
  • SBOM 建置服務:對主力產品執行 SCA 掃描,產出符合 CRA/FDA/R155 要求的 CycloneDX/SPDX 格式 SBOM,同時提供漏洞比對分析報告
  • SBOM 成熟度評估:評估您目前的 SBOM 管理方式(人工/委外/工具化)與法規要求的差距,並提供工具選型建議與導入路徑規劃
  • 漏洞情報監控服務(訂閱制):基於 SBOM 持續比對 NVD/OSV 漏洞資料庫,在新 CVE 揭露時即時通知,支撐 CRA 通報義務的履行
  • CRA / FDA / R155 合規差距分析:針對您的產品組合,跨法規盤點合規缺口,規劃統一的因應策略
SBOM 正在成為跨產業合規與供應鏈信任的基礎建設
  • 歡迎聯繫 DEKRA Onward Security 安排一對一 SBOM 成熟度評估,協助您瞭解目前的準備現況,並規劃最適合您產品組合的因應方案。

    DEKRA 是全球少數同時具備功能安全(Functional Safety)、網路安全(Cybersecurity)與 AI 保證(AI Assurance)三合一服務能力的 TIC 機構,既是合規顧問也是第三方驗證機構,不銷售特定工具,以法規合規為出發點提供中立建議。
參考資料
1. European Commission, Regulation (EU) 2024/2847 — Cyber Resilience Act, Annex I.
2. ENISA, SBOM Landscape Analysis — Towards an Implementation Guide, December 2025.
3. U.S. FDA, Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions, 2023.
4. UNECE, UN Regulation No. 155 — Cyber Security and Cyber Security Management System.
5. UNECE, UN Regulation No. 156 — Software Update and Software Update Management System.
6. NTIA, The Minimum Elements for a Software Bill of Materials, 2021.
7. OWASP, Advisory on SBOM Implementation for Vulnerability Management, February 2025.

───────────────────────────────────────────
CRA 合規系列文章導覽
第一篇至第三篇建立問題意識與產品安全設計方向。從第四篇開始,進入 CRA 合規的具體操作指引。
第一篇:從波蘭能源攻擊事件看台灣製造商的產品安全缺口與 CRA 合規策略
第二篇:從波蘭能源攻擊事件看 OT 資產擁有者的六項優先行動
第三篇:CRA 來了,你的產品規格準備好了嗎?——PM/RD 的安全規格變更清單

▼ 從問題意識到合規操作 ▼
第四篇:CRA 第一階段通報合規準備(高層版 + 執行版)
第五篇(本篇):SBOM 建置與工具選擇(高層版 + 執行版
第六篇:弱點管理政策與合規框架(高層版 + 執行版)
第七篇:弱點管理全流程實務指引(高層版 + 執行版)

───────────────────────────────────────────

詢問

聯絡我們
感謝您的造訪,請留下您的聯絡方式,後續會有專人回覆您的需求。
  • 安華聯網致力於保護您的隱私。 您的資料不會與第三方共享,您將不定期收到資安相關訊息和活動。 您可以隨時退訂。 欲了解更多,請閱讀我們的隱私權政策。 左方請勾選是否同意安華聯網隱私權政策,以便提供您相關內容。

為何選擇安華聯網

深度資安檢測技術+

  • 已發現40+全球首發安全弱點(CVE)
  • 已發掘3000+物聯網安全弱點

深耕物聯網產品安全+

  • 執行200+物聯網產業相關資安專案
  • 測試超過1000+連網產品安全

全球合規與認驗證能力+

  • 協助全球20+國家與500+客戶通過認驗證
  • 具車載、消費品、工控、醫療等產業合規經驗
WeChat
本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。