Zur Erleichterung der Schwachstellenanalyse sollten die Hersteller feststellen und dokumentieren, welche Komponenten in den Produkten mit digitalen Elementen enthalten sind, und dazu gegebenenfalls eine Software-Stückliste aufstellen. Über eine Software-Stückliste können denjenigen, die Software herstellen, kaufen und betreiben, Informationen bereitgestellt werden, die ihnen helfen, die Lieferkette besser zu verstehen, was zahlreiche Vorteile mit sich bringt und insbesondere Herstellern und Nutzern hilft, bekannte neu aufgetretene Schwachstellen und Cybersicherheitsrisiken zu verfolgen. Besonders wichtig ist es, dass die Hersteller sicherstellen, dass ihre Produkte mit digitalen Elementen keine anfälligen Komponenten enthalten, die von Dritten entwickelt wurden. Die Hersteller sollten nicht verpflichtet sein, die Software-Stückliste zu veröffentlichen.