随着数字化转型业务的拓展和深入，需要更加丰富的软件体系为支撑。中小规模的软件供应商、开发商拥有专业创新技术与细分领域解决方案能力，逐渐成为数字时代软件供应链上的重要组成部分。而中小企业面临的数字安全挑战正日益升级。

员工的安全意识不足是中小企业常面临的问题，缺乏对网络安全威胁的认识和正确的防范措施，增加了企业受到攻击的风险。

MDR要求所有在欧盟市场上销售的医疗器械必须遵循严格的安全和性能标准。对于软件驱动的医疗器械，这意味着必须能够识别和管理软件中可能存在的风险，包括但不限于安全漏洞、兼容性问题和潜在的故障。

FDA最近围绕医疗设备制造商提出的网络安全要求中，已明确了医械注册需提交SBOM文件。这就是关于SBOM是否有必要最好的答案。

软件供应链遭受攻击可能导致患者隐私数据的泄露、临床应用功能丧失、数据传输中断造成的信息遗漏、网络攻击引发的数据传输延迟，以及数据篡改引发的误诊等问题，若不加以妥善处理，极易酿成重大的医疗事故，

根据MDR符合性评估要求，需准备的网络安全文件或实行相关措施有：安全风险管理（Security Risk Management）：网络安全风险分析和管理报告、安全能力（Security Capabilities）：网络安全风险等。

开源软件的泛用，使得大多数公司对采购软件的安全性和合规性，处于更加未知或模糊的状态。因此，为了更好地制定第三方软件安全风险管理决策，就需要清晰洞察软件内部组成成分。而SBOM（软件物料清单）就是其中的“灵丹妙药”。

根据FD&C法案第524B(a)节，任何人（包括制造商）以510(k)路径提交符合524B (c)中“网络设备”定义的产品的上市前申请，均需递交相关网络安全资料，以自证确保该设备符合FD&C法案第524B (b)中关于网络安全的要求。

相比于闭源软件，开源软件的所有权和使用权分离，如果对许可合规条款不清晰，对开源软件使用不当，将有可能面临相关法律风险。那么，我们有没有比较高效的方法，可以精准捕捉到开源组件存在的许可合规风险呢？

网安云总结出几大类APP上架最容易被卡的隐私合规问题，以及APP合规上架完整指南，与大家分享。