新發布SkillSec:把 Skills 安全從惡意檢測,升維到能力審計SkillSec瞭解更多 →
合規解讀

醫療器械的 SBOM 時代:FDA「無清單不受理」之後

安勢研究院·2026.07.18·2 分鐘閲讀

醫療器械是全球第一個把 SBOM 寫成上市硬門檻的行業。2023 年 3 月起,FDA 依據聯邦法律新增的 524B 條款,對含網絡功能的醫療器械實行"拒絕受理"政策:上市前申請材料裏沒有 SBOM 和網絡安全文檔,直接退回,不進入實質審評。這不是指南、不是建議,是受理窗口的硬性檢查項。做出海器械的企業最先感受到了温度,而這套邏輯正在成為全球監管的共同語言。

三地監管的要求畫像

美國 FDA:524B 條款要求"網絡器械"(cyber device)提供 SBOM、建立漏洞監測與披露流程、提供全生命週期的安全更新能力。配套的上市前網絡安全指南把要求細化到了威脅建模、安全架構文檔與滲透測試證據。中國 NMPA:《醫療器械網絡安全註冊審查指導原則》要求註冊申報時提交網絡安全描述文檔,其中包含現成軟件(含開源組件)的清單與維護計劃——本質就是中國語境下的 SBOM 要求,且對已上市產品的網絡安全更新也有明確的變更管理路徑。歐盟:醫療器械由 MDR/IVDR 體系覆蓋(因此豁免於 CRA,但要求殊途同歸),MDCG 網絡安全指南同樣要求器械製造商管理第三方軟件組件風險。

三地共同點清晰:監管審的不是"有沒有用開源",而是"是否清楚地知道用了什麼、如何持續維護"

醫療行業的三個獨有困境

超長生命週期與"化石組件"。一台影像設備的服役期十年起步,而設備軟件棧裏的操作系統、中間件、開源庫在服役中途就會陸續停止維護——醫院裏跑着遺留系統的設備至今常見。停更組件在醫療行業不是技術債,是持續放大的患者安全敞口。

"不敢打補丁"困境。器械軟件變更可能觸發註冊變更流程,讓製造商傾向於"能不動就不動"——但監管的態度早已明確:常規網絡安全補丁通常不構成需要重新註冊的重大變更,FDA 和 NMPA 都為安全更新留了快速通道。真正的瓶頸往往不是法規,而是製造商沒有能力快速判斷"這個漏洞影響我哪些型號、補丁改動了什麼"——而這恰恰是組件台賬要解決的問題。

外購軟件佔比高。器械製造商大量集成商業 SDK、算法庫與外購模塊,拿不到源碼是常態。SBOM 的完整性必須靠二進制成分分析補齊外購部分,只覆蓋自研代碼的清單在 FDA 審評問詢裏撐不住。

落地要點

第一,SBOM 進註冊資料流水線:用 SCA 工具對全部軟件資產(自研+現成軟件+外購二進制)生成機器可讀 SBOM(SPDX/CycloneDX),隨每個軟件版本自動更新,註冊申報與年度報告直接引用——參考我們的 SBOM 完全指南選擇格式與字段深度。第二,漏洞監測流程對齊監管預期:新漏洞情報自動關聯在售型號,出"受影響型號清單+風險評估+處置計劃"三件套,這正是 FDA 漏洞管理審評關注的證據形態。第三,把"現成軟件維護計劃"寫實:NMPA 要求的維護計劃不是模板文書,審評趨勢是核對計劃與實際版本狀態的一致性——台賬與計劃脱節是高頻發補項。

醫療器械行業花了幾十年學會用質量體系管理物理風險,現在監管正在把同樣的體系化要求複製到軟件供應鏈上。SBOM 只是入場券,背後被審視的是持續管理軟件風險的組織能力。

醫療器械SBOMFDANMPA網絡安全註冊審查

相關閲讀

技術解讀

SBOM 不止是合規清單:從「我用了什麼」到「我能承受什麼」

很多團隊把 SBOM 當成一份交差用的清單。但真正有價值的 SBOM,是能驅動決策的:哪些漏洞可被利用、哪條依賴該先修、哪個許可證會帶來風險。