本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。
CRA合規
02.Jul.2026
你的產品裡有什麼?當法規與客戶同時在問
CRA 合規系列文章 第五篇(高層版)
SBOM 正在成為跨產業合規與供應鏈信任的基礎建設
30 秒重點
SBOM(Software Bill of Materials,軟體物料清單)正從「自主選擇」逐步成為各市場的合規基礎項目。歐盟 CRA、美國 FDA 醫療器材法規、汽車業 UN R155/R156 同時將 SBOM 列為合規基礎。這不是單一法規的個案,而是全球監管趨勢的匯流。對台灣 OEM/ODM 而言,SBOM 能力正在成為跨產業、跨市場的基礎建設——建立一次,多線受益。
一、三大法規同時要求 SBOM:這不是巧合,是趨勢
過去兩年,全球三個主要市場的監管機構不約而同地將 SBOM 列為產品安全的核心要求。這個趨勢值得高層關注,因為它意味著 SBOM 不再是特定產業的合規項目,而是跨市場的基礎能力。| 歐盟 CRA | 美國 FDA | 汽車 UN R155/R156 | |
|---|---|---|---|
| 適用範圍 | 所有含數位元素產品 | 含軟體的醫療器材 | 具備連網功能的車輛及零組件 |
| SBOM 要求 | Annex I 要求識別與記錄所有元件及其漏洞;通報義務需仰賴 SBOM 判斷影響範圍 | FDA 510(k)/PMA 送審需附 SBOM;需涵蓋商用、開源、自研元件 | CSMS 要求識別與管理軟體供應鏈風險;型式認證需證明漏洞監控能力 |
| 格式要求 | 機器可讀格式(ENISA 建議 CycloneDX/SPDX) | FDA 接受 SPDX 與 CycloneDX | 尚無統一格式要求,實務以 SPDX/CycloneDX 為主 |
| 合規時程 | 2026/09 通報義務生效;2027/12 完整合規 | 已生效(Refuse to Accept 政策) | 已生效(新車型需通過 CSMS 認證) |
| 台灣廠商影響 | 所有出口歐盟的 ICT/IoT/工業產品 | 醫療器材代工/自有品牌 | 車用電子零組件(ADAS、T-Box、IVI 等) |
關鍵觀察:如果您的產品同時涉及歐盟市場(CRA)、美國醫療(FDA)或車用供應鏈(R155/R156),SBOM 能力是共通的基礎。投入一次建設,可以同時滿足多條法規與多個客戶的要求。
二、供應鏈的趨勢:客戶已經在問了
法規是驅動力之一,而對台灣 OEM/ODM 而言,更直接的驅動力來自供應鏈的需求變化。- 歐洲品牌客戶:為準備 CRA 合規,已開始在 RFQ 和年度供應商審查中將 SBOM 列為評估項目。能主動提供 SBOM 的供應商,在合作關係中更具競爭優勢。
- 美國醫療器材客戶:FDA 已將 SBOM 列為送審文件的標準項目(「Refuse to Accept」政策)。醫療器材代工廠若能在產品開發階段就同步建立 SBOM,送審效率將大幅提升。
- 車用 Tier-1 客戶:為通過 CSMS(Cybersecurity Management System)認證,車廠要求零組件供應商提供軟體成分清單與漏洞管理證據。
共通的模式是:終端品牌客戶承擔法規義務,但履行義務所需的資料——SBOM、漏洞紀錄、安全測試結果——都在供應鏈上游的台灣廠商手中。具備這些能力的供應商,自然成為客戶優先合作的對象。

三、因應方案不只一種:從人工管理到工具化
面對 SBOM 要求,廠商的因應方式大致可分為三個層次:| 因應方式 | 做法 | 適用情境與限制 |
|---|---|---|
| 人工盤點 | 由 RD 手動整理開源元件清單,以 Excel 或文件形式交付 | 適合產品數量少、軟體複雜度低的情境。但較難追蹤間接依賴,持續更新效率較低 |
| 委外服務 | 委託第三方機構執行 SCA 掃描並產出 SBOM,搭配漏洞比對分析 | 適合尚未建立內部工具能力的廠商。可快速取得合規文件,同時學習方法論 |
| 工具化(內建) | 導入 SCA 工具整合至 CI/CD 流程,每次建置自動產出 SBOM 並比對漏洞資料庫 | 適合產品線多、版本迭代快、客戶要求持續更新的廠商。初期投入較高,但長期效率最佳 |
務實的建議:多數台灣廠商的合理路徑是「先委外、後內建」。先透過委外服務取得第一版 SBOM 並滿足客戶的立即需求,同時學習方法論與工具選型,再逐步將 SBOM 產出能力內建到開發流程中。
四、工具化的優勢:為什麼規模化之後需要工具
當產品數量增加、版本迭代加快、客戶要求持續更新時,人工管理 SBOM 會遇到明確的瓶頸。工具化帶來的核心優勢包括:- 完整性:自動掃描可識別直接依賴與間接(transitive)依賴,覆蓋人工盤點容易遺漏的深層元件。CRA 與 FDA 都要求涵蓋完整的軟體供應鏈。
- 持續性:整合 CI/CD 後,每次建置自動更新 SBOM。當新的 CVE 揭露時,可以即時比對現有 SBOM,判斷是否受影響——這正是 CRA 通報義務的核心需求。
- 標準化:工具可直接輸出 SPDX 或 CycloneDX 機器可讀格式,滿足不同法規與客戶對格式的要求,避免人工轉換的錯誤與工時。
- 可追溯性:工具記錄每個版本的 SBOM 歷史,在面對監管機關稽核或客戶審查時,可以提供完整的軟體供應鏈追溯紀錄。
五、工具選型:高層需要瞭解的關鍵考量
工具選型的技術細節可以交給工程與合規團隊。但以下幾個方向性決策需要高層瞭解:| 考量維度 | 問題 | 影響 |
|---|---|---|
| 開源 vs. 商業工具 | 開源工具(如 Syft、cdxgen)免授權費但需自行維護;商業工具(如 Snyk、Black Duck)提供完整支援但有年度授權成本 | 預算與內部維運能力的平衡決策 |
| 產出 vs. 全生命週期 | 「SBOM 產出工具」只負責生成清單;「全生命週期平台」還包含漏洞比對、授權合規、持續監控 | 取決於您的需求是交出一份文件,還是建立持續的漏洞管理能力 |
| 語言與建置環境支援 | 不同工具對程式語言和建置系統的支援程度不同(C/C++ 尤其需要注意) | 務必以實際產品程式碼做概念驗證(PoC),避免選錯工具 |
| 多法規覆蓋能力 | 您的產品如果同時面對 CRA、FDA、R155/R156,工具需要能輸出符合不同法規需求的 SBOM 格式與深度 | 一次投入、多線使用的效益最大化 |
六、提前準備的廠商正在建立結構性優勢
SBOM 能力不只是合規成本。已有廠商將其轉化為供應鏈議價能力:- 供應商評選優勢:在歐洲品牌客戶的供應商評選中,能主動提供 SBOM 與漏洞管理證據的台灣廠商,直接進入短名單。這是建立供應鏈差異化定位的有效途徑。
- 跨產業複用:為 CRA 建立的 SBOM 能力,可以直接服務 FDA 醫療器材客戶和車用客戶的需求。一次建設、三線受益。
- 縮短上市時間:將 SBOM 產出整合到開發流程後,每次產品送審或客戶審查所需的準備時間大幅縮短,直接加速業務推進。
七、下一步
SBOM 準備的第一步是瞭解現況:您的產品軟體成分透明度在哪個位置、不同產品線分別面對哪些法規要求、目前的準備方式是否足以因應未來的規模需求。DEKRA Onward Security 可以協助的具體服務
- SBOM 建置服務:對主力產品執行 SCA 掃描,產出符合 CRA/FDA/R155 要求的 CycloneDX/SPDX 格式 SBOM,同時提供漏洞比對分析報告
- SBOM 成熟度評估:評估您目前的 SBOM 管理方式(人工/委外/工具化)與法規要求的差距,並提供工具選型建議與導入路徑規劃
- 漏洞情報監控服務(訂閱制):基於 SBOM 持續比對 NVD/OSV 漏洞資料庫,在新 CVE 揭露時即時通知,支撐 CRA 通報義務的履行
- CRA / FDA / R155 合規差距分析:針對您的產品組合,跨法規盤點合規缺口,規劃統一的因應策略

-
歡迎聯繫 DEKRA Onward Security 安排一對一 SBOM 成熟度評估,協助您瞭解目前的準備現況,並規劃最適合您產品組合的因應方案。
DEKRA 是全球少數同時具備功能安全(Functional Safety)、網路安全(Cybersecurity)與 AI 保證(AI Assurance)三合一服務能力的 TIC 機構,既是合規顧問也是第三方驗證機構,不銷售特定工具,以法規合規為出發點提供中立建議。
1. European Commission, Regulation (EU) 2024/2847 — Cyber Resilience Act, Annex I.
2. ENISA, SBOM Landscape Analysis — Towards an Implementation Guide, December 2025.
3. U.S. FDA, Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions, 2023.
4. UNECE, UN Regulation No. 155 — Cyber Security and Cyber Security Management System.
5. UNECE, UN Regulation No. 156 — Software Update and Software Update Management System.
6. NTIA, The Minimum Elements for a Software Bill of Materials, 2021.
7. OWASP, Advisory on SBOM Implementation for Vulnerability Management, February 2025.
───────────────────────────────────────────
CRA 合規系列文章導覽
第一篇至第三篇建立問題意識與產品安全設計方向。從第四篇開始,進入 CRA 合規的具體操作指引。
第一篇:從波蘭能源攻擊事件看台灣製造商的產品安全缺口與 CRA 合規策略
第二篇:從波蘭能源攻擊事件看 OT 資產擁有者的六項優先行動
第三篇:CRA 來了,你的產品規格準備好了嗎?——PM/RD 的安全規格變更清單
▼ 從問題意識到合規操作 ▼
第四篇:CRA 第一階段通報合規準備(高層版 + 執行版)
第五篇(本篇):SBOM 建置與工具選擇(高層版 + 執行版)
第六篇:弱點管理政策與合規框架(高層版 + 執行版)
第七篇:弱點管理全流程實務指引(高層版 + 執行版)
───────────────────────────────────────────
