医疗器械软件材料清单

Michael Amiri ， MichelaMenting 高级分析师 ， 高级研究总监 CONTENTS 执行摘要 … … … … … … … … 1 w医疗设备包含许多软件组件，因此具有更多的软件依赖性，使其成为销售软件供应链安全产品的有吸引力的市场潜力。 w软件物料清单（SBOM）生成及相关解决方案在美国行政命令（EO）14028要求软件开发商在向政府销售产品时生成SBOM后，几乎与供应链安全划上了等号。与政府一样，私营部门日益认识到SBOM对于保障供应链安全与稳定的重要性。 … … … … … … … … … … … …… 9业务机会........ 10软件分析.... 11 易损性管理.. 12 修补和更新... 13 市场预测.. w虽然软件 bill of materials (SBOM) 的概念已经存在了数年，但实际商业化和相关市场的阶段仍处于早期。主要催化剂是美国国家电信和信息管理局（NTIA）和美国食品药品监督管理局（FDA）的努力，导致出台旨在推动软件透明度和医疗设备网络安全的监管措施。合规要求是市场发展的重要驱动力，这一点在医疗领域尤为明显。 wSBOMs 逐渐成为软件供应链管理和安全的重要组成部分，对于软件开发者和医疗设备制造商（MDMs）而言，因此对SBOM的创建、更新以及软件补丁的需求将显著增长。有趣的是，较小的软件安全公司已经意识到这一点，并迅速扩展了相关解决方案和营销活动。 wSBOM生成和管理市场的初期阶段已显现，但预计将显著扩大。初期焦点集中在SBOM生成上，目标市场为软件开发者（包括MDMs）。随着时间推移，SBOM管理解决方案的开发将面向更广泛的市场，包括如医疗保健提供者（HCPs）在内的软件消费者。 w软件开发者倾向于使用开源库并从开源仓库中纳入代码，这将延续应用程序依赖性不断增加的趋势。随之而来的是，为了评估风险、识别漏洞和缓解日益复杂软件供应链中的威胁，SBOM相关市场的增长和扩张将进一步得到促进。 w软件分析和漏洞管理将成为SBOM解决方案的关键组成部分，最终修复行动，如打补丁和更新，也将成为其中的重要部分。 w新兴的SBOM（软件 bill of materials）对MDM（移动设备管理）的法律要求，结合SBOM为软件开发者在软件生命周期管理中提供的安全益处，形成了客户对SBOM解决方案的期望，将其视为任何软件设备安全套件中的关键组成部分。这为SBOM提供商带来了日益增长的商业机会。 w三大典型解决方案可以识别出来，特别是在软件 Bills of Materials (SBOMs) 和安全方面：1）软件扫描和分析工具进行漏洞评估与缓解；2）漏洞管理；以及 3）通过打补丁和更新实现的安全软件开发生命周期管理。 w所有这三个领域都有营销的空间并能实现稳定的收入。这些功能可以在SBOM生成和摄入阶段以及SBOM管理阶段得以启用。 w供应商推广SBOM（软件 Bills of Materials）采用三种一般方法：1) 将其作为其产品安全提供的独立功能，强调管理和验证SBOM是产品安全的核心；2) 将SBOM生成和分析视为满足法律要求所需的产品；3) 将SBOM作为安全产品设计的一部分，并用于有效的设备生命周期管理。 简介 ： 游戏状态 研究范围 Irdeto 向 ABI Research 接洽以开发关于医疗设备的软件物料清单（SBOM）的市场研究报告。此报告的目标在于分析潜在的市场机遇，尤其是针对漏洞监控与管理领域，并为 Irdeto 提供有关其定位、合作伙伴关系及其进入市场策略（GTM）的建议与可执行洞察。 这份后续报告提供了相关技术分析，评估了当前使用的企业模式，回顾了市场动态（包括总可地址市场（TAM）），并评估了供应商定位和竞争市场格局。 这份报告专注于软件 Bills of Material（SBOM），这一相对较新的概念起源于2018年美国NTIA发起的多部门倡议，旨在解决软件透明度问题。根据NTIA的定义，SBOMs 基本上是一份列出软件中已识别组件及其相关信息的清单，包括这些组件的详细信息。 关系及其关联信息。这些组件可能包括模块、单元、数据或文档。SBOM元素应包含以下内容： w作者姓名:指生成 SBOM 文件的实体(即个人、组织或类似实体) 。 w 时间戳 ： 记录 SBOM 数据集合的日期和时间。 w软件组件供应商 (供应商):创建、定义和识别组件的实体。软件组件供应商名称通常应参考商业软件的法律企业名称。 w软件组件名称:分配给原始供应商定义的软件单元的名称。 w软件组件版本:供应商使用的标识符 ， 用于指定对先前识别版本的软件的更改。 w唯一标识符:用于标识组件或用作相关数据库的查找键的标识符。 w关系:描述上游组件 X 包含在软件 Y 中的关系。 今天，美国及其他地区的其他利益相关方也提出了自己的定义和指南，这些定义和指南与软件 Bills of Materials (SBOM) 对齐，包括美国食品药品监督管理局（FDA）、美国国家标准与技术研究院（NIST）、软件联盟（BSA）、构建安全性成熟度模型（BSIMM）、信息技术软件质量委员会（CISQ）、金融服务信息共享与分析中心（FS-ISAC）、国际标准化组织（ISO）、Linux 基金会OpenChain、医疗信息系统与管理学会（HIMSS）、国家电气制造商协会（NEMA）、欧盟医疗器械协调组、AAMI 软件工作组、MITRE 以及 OWASP 等。 各种指导方针的出现正在帮助界定SBOM领域在创建和使用方面的标准，并且越来越多地从最小化与软件相关的风险和漏洞的角度进行考虑。这在像医疗保健这样的领域尤为重要，因为安全性是首要关注点。不仅对SBOM的初始开发感兴趣，而且对它们的生命周期管理也非常关注。 通常，软件清单（SBOMs）由软件开发者生成，这也可以是MDM；两者合称为软件开发者。然后，SBOMs被传输给软件消费者，换句话说，主要是医疗卫生提供者（HCPs），但也包括其他组织（包括公共部门）。SBOM生成和管理的技术构成尚处于初步发展阶段，已出现各种解决方案和服务以满足这些需求，但至今仍相对不成熟。该概念本身仍在不断发展，并可能发生变化。 自动化SBOM生成是一种常见且不断扩展的趋势，供应商强调自动生成和机器可读性是跨任何软件生态系统规模化应用SBOM的关键。未来SBOM的创建可能包括人工智能（AI）和NTIA的元素。这种潜力。 SBOM 对保护 AI 模型和 AI 的贡献暗示 对SBOM生成的自动化进行研究，这是ABI Research从供应商处未收到反馈的一个领域，表明在 此方面存在进一步研发（R&D）和市场扩展的潜力。 方法 为了创建此报告，ABI研究机构进行了广泛的调研以了解软件 Bills of Materials（SBOMs）在医疗保健领域的角色和需求。ABI研究机构利用了多种信息来源。首先，ABI研究机构依托其现有的医疗行业和医疗器械市场的知识基础来为该项目打下基础。这些知识来源于各种服务中的数据： w 物联网网络和服务研究服务 w 物联网网络安全研究服务 w智能家居和建筑研究服务 关于市场规模估算，ABI研究机构利用了多种 Syndicated 数据集来推断 SBOM 收入。为此共使用了四份市场数据集，即万物互联市场追踪器（Internet of Everything Market Tracker）等。) 。物联网市场跟踪器 - 全球 (MD - IOE - 112MD- ) ， 以及智能家居医疗市场数据 () 观察医疗保健IOTMWW - 111MD - HAHC - 104设备、连接性和服务支出以及医疗保健行业在OT与IoT关键基础设施安全市场数据的增长。) 了解医疗互联网MD - IOTCIS医疗保健组织的物联网 (IoT) 和运营技术 (OT) 设备网络安全支出。 基于此基础，ABI研究公司的分析师团队对MDM、HCP和软件开发者进行了进一步的研究，同时还涉及SBOM生成与变更管理、软件组成分析（SCA）、风险与漏洞管理以及软件开发生命周期（SDLC）等相关主题。随后，针对医疗设备的SBOM安全市场总规模（TAM）得以确定。 最初专注于从二级来源获取信息，分析师们研究了政策、法规和标准的发展情况，以及供应商、供应商和其他生态系统参与者（例如行业协会和联盟）。这些背景研究为深入的研究访谈奠定了基础，这些访谈揭示了市场的更多细节。 研究访谈针对SBOM提供商开展，以获取有关策略、路线图和新兴商业模式的信息。本项目共进行了八次研究访谈，涉及提供SBOM和软件安全解决方案的公司，包括专门针对医疗保健领域（HCPs和MDMs）的公司，以及其他面向更广泛市场的安全解决方案提供商。访谈时长从30分钟到长达1.5小时不等。表1和表2提供了被联系公司及访谈对象的概览。表3列出了未回应ABI Research询问的公司名单。 （ 来源 ： ABI Research) （ 来源 ： ABI Research) （ 来源 ： ABI Research) 市场驱动因素 医疗卫生领域的发展自然依赖于改进设施、更先进仪器以及新药物的进步，以实现更为有效的治疗和治愈。技术在推动医疗卫生发展方面起着关键作用，信息技术（ICT）促进了行业的现代化进程，从连接性到数字化转型。 在所有互联技术采用过程中，安全与安全问题正逐渐浮现。ICT（信息通信技术）带来了诸多新的风险和漏洞，这些风险可能影响患者安全。医疗健康行业面临的即将到来的挑战是如何充分利用技术带来的好处，同时尽量减少可能带来的潜在风险。 平衡并非易事，且需要在多个领域接受教育，包括数据保护、医疗设备安全以及信息技术（IT）系统的信任。风险降低是该领域增加政策和监管的主要原因，它推动了软件物料清单（SBOM）需求的一部分。但超越风险降低，SBOM还可以实现其他目的，例如为医疗保健提供者提供更高效的设备管理、促进更好的供应链关系以及创造更大的客户粘性。以下部分将探讨所有这些业务驱动因素，它们正在推动SBOM市场的形成。 医疗物联网的增长 医疗保健领域可供选择的医疗设备数量和多样性已经令人感到压迫，而医疗物联网将进一步将更多设备连接到健康信息技术基础设施中。医疗设备包括小型便携设备（如心脏起搏器、连续葡萄糖监测器、可穿戴胰岛素泵）、现场移动设备（如扩散泵、病床头单元、氧气设备），以及大型固定机器（如成像设备，用于X射线、磁共振成像（MRI）和计算机断层扫描（CT）检查），这些设备将被连接到托管患者数据库的后端服务器，并与健康医疗应用及医疗专业人士的前端界面设备相连。 ABI研究预测，至2027年，医疗设备、家庭和患者监测设备的连接数量将达到78.7亿个（参见表4和图表1，以及定义表），较2023年底的4.08亿个显著增长。欲了解更多信息，请参阅ABI研究的物联网市场跟踪报告——全球市场数据。 表 4:按类型划分的医疗保健连接世界市场 ： 2023 年至 2027 年 （ 来源 ： ABI Research) （ 来源 ： ABI Research) 定义 （ 来源 ： ABI Research) 管理这些数以百万计的连接将极具挑战性，尤其是由于规模庞大以及设备之间的巨大差异。设备管理、打补丁、更新和监控将需要各相关方之间进行大量的协调和努力。不同的操作系统（OS）、网络协议、软件和固件的使用，支持寿命长达数十年的遗留设备，新连接设备的上线，以及与电子健康记录（EHR）和健康应用的链接，都带来了新的挑战。 为了有效地管理医疗设备，设备可见性是必要的先决条件。这不仅意味着在网络上的可见性，还包括对设备本身（包括硬件和软件组成以及相关特性和功能）的详细信息。这是正确识别设备、根据风险进行扫描和评估，并以不会危及患者安全或护理交付的方式进行安全管理所必需的。 然而，收集设备组成信息并不容易，往往是因为制造商并不总是提供此类信