医疗器械的 SBOM 时代:FDA“无清单不受理”之后
医疗器械是全球第一个把 SBOM 写成上市硬门槛的行业。2023 年 3 月起,FDA 依据联邦法律新增的 524B 条款,对含网络功能的医疗器械实行"拒绝受理"政策:上市前申请材料里没有 SBOM 和网络安全文档,直接退回,不进入实质审评。这不是指南、不是建议,是受理窗口的硬性检查项。做出海器械的企业最先感受到了温度,而这套逻辑正在成为全球监管的共同语言。
三地监管的要求画像
美国 FDA:524B 条款要求"网络器械"(cyber device)提供 SBOM、建立漏洞监测与披露流程、提供全生命周期的安全更新能力。配套的上市前网络安全指南把要求细化到了威胁建模、安全架构文档与渗透测试证据。中国 NMPA:《医疗器械网络安全注册审查指导原则》要求注册申报时提交网络安全描述文档,其中包含现成软件(含开源组件)的清单与维护计划——本质就是中国语境下的 SBOM 要求,且对已上市产品的网络安全更新也有明确的变更管理路径。欧盟:医疗器械由 MDR/IVDR 体系覆盖(因此豁免于 CRA,但要求殊途同归),MDCG 网络安全指南同样要求器械制造商管理第三方软件组件风险。
三地共同点清晰:监管审的不是"有没有用开源",而是"是否清楚地知道用了什么、如何持续维护"。
医疗行业的三个独有困境
超长生命周期与"化石组件"。一台影像设备的服役期十年起步,而设备软件栈里的操作系统、中间件、开源库在服役中途就会陆续停止维护——医院里跑着遗留系统的设备至今常见。停更组件在医疗行业不是技术债,是持续放大的患者安全敞口。
"不敢打补丁"困境。器械软件变更可能触发注册变更流程,让制造商倾向于"能不动就不动"——但监管的态度早已明确:常规网络安全补丁通常不构成需要重新注册的重大变更,FDA 和 NMPA 都为安全更新留了快速通道。真正的瓶颈往往不是法规,而是制造商没有能力快速判断"这个漏洞影响我哪些型号、补丁改动了什么"——而这恰恰是组件台账要解决的问题。
外购软件占比高。器械制造商大量集成商业 SDK、算法库与外购模块,拿不到源码是常态。SBOM 的完整性必须靠二进制成分分析补齐外购部分,只覆盖自研代码的清单在 FDA 审评问询里撑不住。
落地要点
第一,SBOM 进注册资料流水线:用 SCA 工具对全部软件资产(自研+现成软件+外购二进制)生成机器可读 SBOM(SPDX/CycloneDX),随每个软件版本自动更新,注册申报与年度报告直接引用——参考我们的 SBOM 完全指南选择格式与字段深度。第二,漏洞监测流程对齐监管预期:新漏洞情报自动关联在售型号,出"受影响型号清单+风险评估+处置计划"三件套,这正是 FDA 漏洞管理审评关注的证据形态。第三,把"现成软件维护计划"写实:NMPA 要求的维护计划不是模板文书,审评趋势是核对计划与实际版本状态的一致性——台账与计划脱节是高频发补项。
医疗器械行业花了几十年学会用质量体系管理物理风险,现在监管正在把同样的体系化要求复制到软件供应链上。SBOM 只是入场券,背后被审视的是持续管理软件风险的组织能力。
