点击上方蓝字关注我们
上一篇我们讲了互操作性的安全风险,今天来聊一个更隐蔽更难防的攻击面——软件供应链安全。先问一个问题:你的医疗设备里多少代码是自己写的?现实是百分之六十到八十的代码来自第三方,开源库、商业SDK、外包开发、芯片厂商提供的BSP,这些代码一旦有漏洞或被植入后门,你的设备就跟着遭殃。更扎心的是FDA的态度非常明确:不管代码是谁写的,既然用进了你的设备,你就要负责管理它的风险,没有任何推卸的空间。2026版指南Section V.A.4和ISO 13485第7.4节把供应链安全要求写得清清楚楚,今天我们就来手把手讲清楚FDA要求你怎么管控第三方组件、在eSTAR里又该怎么体现。
晟信信息科技
什么是软件供应链攻击?
软件供应链攻击是指:攻击者不直接攻击你的设备,而是攻击你依赖的第三方组件、工具或服务。
典型攻击路径
攻击者 → 入侵开源项目维护者账号 → 在流行库中植入后门 → 你下载使用了这个库 → 你的设备被植入后门
真实案例:xz-utils CVE-2024-3094后门事件(2024年)
一个几乎被所有Linux系统使用的基础压缩库xz-utils,被攻击者潜伏3年,成功植入后门。如果不是被微软工程师偶然发现,这个后门可能已经进入了无数生产系统。
医疗设备领域的真实风险
这些漏洞的共同点:不是设备厂商自己写的代码,但出事了厂商要负责。
FDA的核心立场:你是最终责任人
FDA在指南里说得非常明确:
"When these components are incorporated, security risks of the software components should become factors of the overall medical device system risk management processes and documentation."
翻译:不管代码是谁写的,只要进了你的设备,就是你的风险,你来管理。
你必须做到的四个“知道”
全流程供应链安全管控
FDA期望你在组件的整个生命周期都有管控措施。
选型——把好入口关
💡 建立内部白名单机制:只有通过上述审查的组件才能被引入。
使用——持续监控
特别提醒:CISA KEV目录是FDA明确点名必须监控的来源!
响应——出了问题快速应对
FDA特别关心:你有没有Plan B?
"Develop contingency plans for the possibility that a third-party company goes out of business or stops supporting a licensed product."(Appendix 1.H)
兜底——源代码托管
FDA在指南里专门提了一个要求:
"Device manufacturers should establish and maintain custodial control of device source code throughout the lifecycle of a device as part of configuration management."
翻译:你必须有能力在第三方“消失”后,仍能维护你的设备的源代码。
如何在eSTAR中体现供应链安全
供应链安全不是单独的附件,而是渗透到多个已有附件中。
威胁模型
必须体现:将“供应链攻击”作为一类独立威胁进行分析。
SBOM(三件套)
这是供应链安全在eSTAR中最核心的体现。
上市后管理计划
必须体现:供应链持续监控机制。
标签合规报告
必须体现:向用户披露供应链风险。
供应链安全红黑榜
🟢 红榜(FDA认可的做法)
🔴 黑榜(FDA明确反对的做法)
三个最容易翻车的供应链安全问题
SBOM不完整
“我们只列了直接依赖,间接依赖太多了列不完”
FDA观点:间接依赖也是依赖,也可能有漏洞。Log4Shell就是典型的间接依赖漏洞——很多人根本不知道自己用了Log4j!
✅ 正确做法:
● 使用SCA工具自动扫描传递性依赖
● 确保SBOM包含所有层级
用了“僵尸”组件
“这个库功能正好满足需求,虽然3年没更新了,但能用就行”
3年没更新的库,大概率积累了已知漏洞没修复,而且未来发现新漏洞也不会有人修。
✅ 正确做法:
● 选型时避开维护不活跃的组件
● 如果已在使用,评估迁移成本,制定替换计划
对商业组件厂商“盲目信任”
“我们用的是大厂的商业SDK,他们肯定很安全”
大厂也会出漏洞,而且大厂的EoL决策可能影响你的产品生命周期。
✅ 正确做法:
● 合同中明确安全更新义务和支持期限
● 监控厂商安全公告
● 即使是大厂,也准备好Plan B
总结:供应链安全的“四个有”
FDA不要求你用的每个组件都完美无漏洞——这不可能。但要求你:
● 知道用了什么
● 知道有什么风险
● 知道怎么应对
● 知道怎么告诉用户
你们遇到过第三方组件突然停止支持的坑吗?怎么解决的?评论区聊聊!
往期回顾
END

公众号:晟信信息
微信号:shengxinxinxikeji
扫码添加官方微信了解更多内容~
感谢您的推荐,我们一路同行!
夜雨聆风