歐盟《網路韌性法案》今年9月施行，產品安全通報時限成法遵門檻，僅四分之一企業將SBOM驗證納入自動化

軟體套件與元件管理平臺業者Cloudsmith發布年度調查報告《Artifact Management Report 2026》指出，CRA要求企業在發現產品漏洞已遭濫用後，必須於24小時內提出早期警示、72小時內完成完整通報，並在修正措施可用後14天內提交最終報告。這也意味著，企業未來面對的已不只是漏洞修補速度問題，而是能否在時限內提出可驗證、可追溯的產品安全資料。

報告顯示，95%的受訪企業已能產出軟體物料清單（Software Bill of Materials，SBOM），但只有25%的工程團隊真正把SBOM驗證整合進安全控管流程並加以自動化；其餘75%的組織，多半仍把SBOM視為因應臨時法規需求或稽核作業的文件，尚未納入日常安全控管流程。另在稽核準備度方面，僅27%的受訪企業表示，若臨時面對軟體供應鏈稽核，有高度信心能夠因應；74%坦言，內部缺乏快速產出稽核報告所需的可視性。

此外，79%的受訪者可在漏洞揭露後6小時內判定是否影響自身環境，但只有37%的組織可在發生資安事件後，於數分鐘內自動識別、封鎖並追蹤受影響元件的所在範圍；另有48%的組織雖可辨識問題元件，後續仍需仰賴人工隔離與修補。Cloudsmith指出，這顯示多數企業雖已具備初步影響判定能力，但距離把這些資料真正轉化為自動化防護與事件應變能力，仍有一段落差。

整體而言，這份報告顯示，若SBOM仍停留在文件產出階段，無法真正用來掌握軟體套件相依關係、追蹤元件在軟體供應鏈中的流向，以及確認應用程式的實際使用位置，企業未來無論是因應CRA法遵要求，或面對軟體供應鏈稽核，都將承受更大壓力。