SBOM a řízení zranitelností: praktický základ souladu s CRA

Co je SBOM a proč ho CRA vyžaduje

SBOM (Software Bill of Materials) je strukturovaný soupis softwarových komponent, ze kterých se produkt skládá – včetně knihoven a závislostí třetích stran. Moderní produkt jich obsahuje desítky až stovky a právě v nich se objevuje většina zranitelností. CRA proto vedení SBOM předpokládá jako součást řízení zranitelností.

Jak SBOM pomáhá v praxi

Hodnota SBOM se ukáže ve chvíli, kdy se objeví nová zranitelnost v některé rozšířené komponentě. Bez SBOM začíná hledání: které z našich produktů tu knihovnu používají? S aktuálním SBOM je odpověď otázkou minut.

• rychlé určení, které produkty jsou novou zranitelností zasaženy,
• podklad pro rozhodnutí o prioritě a načasování oprav,
• důkaz pro technickou dokumentaci, že komponenty sledujete,
• základ pro komunikaci s dodavateli o jejich komponentách.

Řízení zranitelností není jednorázová akce

CRA požaduje řízení zranitelností po celou dobu podpory produktu – zpravidla nejméně pět let. To znamená trvalý proces, ne projekt s koncem. Funkční proces obvykle zahrnuje:

1. 1kanál pro příjem hlášení zranitelností od výzkumníků i uživatelů (coordinated vulnerability disclosure),
2. 2třídění a hodnocení závažnosti nahlášených zranitelností,
3. 3nápravu formou aktualizací a jejich bezpečné doručení uživatelům,
4. 4průběžné sledování komponent ze SBOM oproti databázím zranitelností.

Oznamovací povinnost od září 2026

Na řízení zranitelností navazuje oznamovací povinnost. Od 11. září 2026 musí výrobci hlásit aktivně zneužívané zranitelnosti a závažné incidenty agentuře ENISA ve stanovených lhůtách. Aby firma tyto lhůty zvládla, potřebuje mít proces, role a šablony připravené dřív, než nastane ostrá situace.