当前文件通常是
SBOM request / Cybersecurity Addendum
文件场景专题 · 最后审阅 2026-06-18
欧洲客户要求提供 SBOM:披露范围、保密边界与责任控制
SBOM 请求背后的保密、漏洞、第三方组件和合同责任边界。
如果你现在就在处理这类文件,不必先把所有材料整理齐。更合适的做法,通常是先围绕 供应商安全问卷 48 小时首轮判断 说明当前版本、最晚时点和最卡问题。如果回复期限已经很近,通常会先回复问卷是否适合承接、哪些问题能先回、哪些问题需要补制度或证据。
当前文件通常是SBOM request / Cybersecurity Addendum
第一轮先给哪些资料产品软件架构说明 / 第三方组件清单 / 开源许可证记录
首轮通常先看如果回复期限已经很近,通常会先回复问卷是否适合承接、哪些问题能先回、哪些问题需要补制度或证据。
第一轮通常拿到第一轮通常会拿到问题拆解、证据缺口表、回复草稿方向和需要升级判断的清单。
文件已经在手SBOM request / Cybersecurity Addendum
不先答重先把事实确认、未来承诺和高风险边界拆开,再决定怎么回。
不必先交齐全部资料通常不要求你先把白皮书、制度和全部附件整理完整,先提交当前版本和截止时间即可。
律师复核边界先形成首轮可复核判断,再决定是否升级到 redline、专项判断或持续支持。
先看怎么进入判断
当前文件已经在手时,通常更适合这样开始
这类专题不是只给概念解释,而是帮助企业先判断:现在要提交什么、第一轮通常会先拿到什么、什么时候更适合继续往下处理。
第一轮先给哪些资料
产品软件架构说明 / 第三方组件清单 / 开源许可证记录
第一轮通常会先拿到什么
第一轮通常会拿到问题拆解、证据缺口表、回复草稿方向和需要升级判断的清单。
什么时候更适合继续往下处理
当前文件、最晚时点、最卡问题和已有资料类型已经说明清楚时。
SBOM 不是普通资料清单。它可能暴露开源组件、第三方库、版本号和安全敏感信息。
供应商不应简单拒绝,也不应无条件提供完整 SBOM。更稳妥的方式是限定披露范围、接收方、用途、保密义务和更新频率。
如果客户把 SBOM 与 CRA、漏洞报告、软件更新、召回赔偿绑定在同一附件中,应当同时审查责任上限、通知机制和证据能力。
客户通常会发来哪些文件?
- SBOM request
- Cybersecurity Addendum
- Vulnerability disclosure clause
- Supplier security questionnaire
企业至少要准备哪些资料?
- 产品软件架构说明
- 第三方组件清单
- 开源许可证记录
- 漏洞响应流程
- 软件更新政策
初步判断要问的三个问题
- 客户要求的是完整 SBOM、摘要清单,还是只要求高风险组件说明?
- 接收方是直接客户、其集团公司、检测机构、云平台,还是所有下游买方?
- 客户是否同时要求 24 小时漏洞通知、免费修复、长期安全更新或无限赔偿?
官方来源
相关官方来源
Regulation (EU) 2024/2847
Cyber Resilience Act
联网硬件、软件、远程更新、漏洞处理和安全支持承诺的核心法规锚点。
European Commission
CRA policy summary
用于向非法律团队解释 CRA 覆盖硬件和软件产品的政策背景。
如果现在要推进
通常有三种更直接的方式
不用先听很多概念说明。多数企业现在更关心的是:能不能直接发文件、能不能先简单说一下问题,或者要不要先在内部把材料收一轮。
已经有文件
直接把当前文件发来
如果已经知道当前是什么文件、最晚什么时候要推进、最卡的问题是什么,最省时间的方式通常就是直接发来。
提交这个场景 → 如果客户文件明天就要回,先看紧急件入口 →先简要说明
先进入正式受理入口
如果你更想先快速确认值不值得推进,可以先说明文件类型、时点和最卡问题,不必一开始就贴全部敏感资料。
打开正式受理入口 →先收材料
先组织这类资料
如果这篇文章已经对应到 供应商安全问卷 48 小时首轮判断,但文件、回复时点和已有资料还没收齐,先按这类场景的提交清单收一轮,会更容易继续往下走。
先看这类提交清单 →轻量沟通
如果已经对上你的问题,可直接说明一个简版场景
处理原则:客户问卷应作为正式交易文件审慎处理。问卷回复、供应商声明和采购附件都可能成为后续违约、索赔、召回和审计依据。
提交这个场景