新发布SkillSec:把 Skills 安全从恶意检测,升维到能力审计SkillSec了解更多 →
合规解读

医疗器械的 SBOM 时代:FDA“无清单不受理”之后

安势研究院·2026.07.18·3 分钟阅读

医疗器械是全球第一个把 SBOM 写成上市硬门槛的行业。2023 年 3 月起,FDA 依据联邦法律新增的 524B 条款,对含网络功能的医疗器械实行"拒绝受理"政策:上市前申请材料里没有 SBOM 和网络安全文档,直接退回,不进入实质审评。这不是指南、不是建议,是受理窗口的硬性检查项。做出海器械的企业最先感受到了温度,而这套逻辑正在成为全球监管的共同语言。

三地监管的要求画像

美国 FDA:524B 条款要求"网络器械"(cyber device)提供 SBOM、建立漏洞监测与披露流程、提供全生命周期的安全更新能力。配套的上市前网络安全指南把要求细化到了威胁建模、安全架构文档与渗透测试证据。中国 NMPA:《医疗器械网络安全注册审查指导原则》要求注册申报时提交网络安全描述文档,其中包含现成软件(含开源组件)的清单与维护计划——本质就是中国语境下的 SBOM 要求,且对已上市产品的网络安全更新也有明确的变更管理路径。欧盟:医疗器械由 MDR/IVDR 体系覆盖(因此豁免于 CRA,但要求殊途同归),MDCG 网络安全指南同样要求器械制造商管理第三方软件组件风险。

三地共同点清晰:监管审的不是"有没有用开源",而是"是否清楚地知道用了什么、如何持续维护"

医疗行业的三个独有困境

超长生命周期与"化石组件"。一台影像设备的服役期十年起步,而设备软件栈里的操作系统、中间件、开源库在服役中途就会陆续停止维护——医院里跑着遗留系统的设备至今常见。停更组件在医疗行业不是技术债,是持续放大的患者安全敞口。

"不敢打补丁"困境。器械软件变更可能触发注册变更流程,让制造商倾向于"能不动就不动"——但监管的态度早已明确:常规网络安全补丁通常不构成需要重新注册的重大变更,FDA 和 NMPA 都为安全更新留了快速通道。真正的瓶颈往往不是法规,而是制造商没有能力快速判断"这个漏洞影响我哪些型号、补丁改动了什么"——而这恰恰是组件台账要解决的问题。

外购软件占比高。器械制造商大量集成商业 SDK、算法库与外购模块,拿不到源码是常态。SBOM 的完整性必须靠二进制成分分析补齐外购部分,只覆盖自研代码的清单在 FDA 审评问询里撑不住。

落地要点

第一,SBOM 进注册资料流水线:用 SCA 工具对全部软件资产(自研+现成软件+外购二进制)生成机器可读 SBOM(SPDX/CycloneDX),随每个软件版本自动更新,注册申报与年度报告直接引用——参考我们的 SBOM 完全指南选择格式与字段深度。第二,漏洞监测流程对齐监管预期:新漏洞情报自动关联在售型号,出"受影响型号清单+风险评估+处置计划"三件套,这正是 FDA 漏洞管理审评关注的证据形态。第三,把"现成软件维护计划"写实:NMPA 要求的维护计划不是模板文书,审评趋势是核对计划与实际版本状态的一致性——台账与计划脱节是高频发补项。

医疗器械行业花了几十年学会用质量体系管理物理风险,现在监管正在把同样的体系化要求复制到软件供应链上。SBOM 只是入场券,背后被审视的是持续管理软件风险的组织能力。

医疗器械SBOMFDANMPA网络安全注册审查

相关阅读

技术解读

SBOM 不止是合规清单:从“我用了什么”到“我能承受什么”

很多团队把 SBOM 当成一份交差用的清单。但真正有价值的 SBOM,是能驱动决策的:哪些漏洞可被利用、哪条依赖该先修、哪个许可证会带来风险。