Ανεξάρτητος οδηγός για τον κανονισμό (ΕΕ) 2024/2847 · Κατάσταση: σε ισχύ
Η παρούσα σελίδα αποτελεί αυτόματη μετάφραση (μέσω ΤΝ) και δεν έχει ελεγχθεί από άτομο.
Ανάλυση · ο βρόχος χειρισμού ευπαθειών του CRA

Ανάλυση ευπαθειών & SBOM

Ο CRA μετατρέπει τον κατάλογο υλικών λογισμικού σας σε ζωντανή υποχρέωση: γνωρίστε τι περιέχει το προϊόν σας, παρακολουθείτε τα συστατικά αυτά για νέες ευπάθειες, και διορθώστε και αναφέρετέ τις εντός των προθεσμιών του άρθρου 14. Η σελίδα αυτή παρουσιάζει τον βρόχο, και το δωρεάν εργαλείο που τον εκτελεί.

1

Δημιουργήστε ένα SBOM

Παραγάγετε έναν μηχαναγνώσιμο κατάλογο υλικών λογισμικού που καλύπτει τουλάχιστον τις εξαρτήσεις ανώτατου επιπέδου σας. Πρόκειται για απαρέγκλιτη απαίτηση, όχι για βέλτιστη πρακτική.

Πώς να το δημιουργήσετε ↓
2

Παρακολουθήστε για ευπάθειες

Διασταυρώνετε συνεχώς κάθε συστατικό έναντι ζωντανών δεδομένων ευπαθειών (NVD, EUVD). Οι ομαδοποιημένες συγκεντρωτικές ειδοποιήσεις δεν πληρούν το χρονικό περιθώριο των 24 ωρών.

Γιατί οι συγκεντρωτικές ειδοποιήσεις δεν επαρκούν ↓
3

Αξιολογήστε, διορθώστε & αναφέρετε

Τεκμηριώστε τη δυνατότητα αξιοποίησης, διαθέστε διόρθωση και αναφέρετε τις ενεργά αξιοποιούμενες ευπάθειες στον ENISA και στην CSIRT σύμφωνα με το χρονοδιάγραμμα 24 ωρών / 72 ωρών / 14 ημερών.

Το εργαλείο που το πραγματοποιεί αυτό ↓
Ένας συνεχής βρόχος καθ' όλη τη διάρκεια της περιόδου υποστήριξης του προϊόντος
Η μηχανή · εκτελεί τα βήματα 2 & 3 · δωρεάν, φιλοξενείται στην i46

Αναλυτής Ευπαθειών CRA

Μεταφορτώστε το SBOM και τον κατάλογο ενεργών ευπαθειών σας. Ο Αναλυτής διασταυρώνει κάθε συστατικό έναντι της Εθνικής Βάσης Δεδομένων Ευπαθειών (NVD) και της Βάσης Δεδομένων Ευπαθειών της ΕΕ (EUVD), επισημαίνει τα συστατικά που έχουν φθάσει στο τέλος ζωής τους, και δημιουργεί μια έκθεση συμμόρφωσης που μπορείτε να επισυνάψετε στον τεχνικό φάκελό σας.

Ανοίξτε τον Αναλυτή sbom.i46.cz · ανοίγει σε νέα καρτέλα
1Δημιουργήστε ένα SBOM με syft (SPDX JSON) και έναν κατάλογο ενεργών ευπαθειών με debsecan.
2Μεταφορτώστε και τα δύο αρχεία· σύρετε και αποθέστε ή περιηγηθείτε.
3Τα συστατικά διασταυρώνονται έναντι NVD και EUVD· παρακολουθείται η κατάσταση EOL.
4Μεταφορτώστε ένα Έκθεση Word με εκτιμήσεις κινδύνου και τεκμηρίωση EOL.
Οι λεπτομέρειες πίσω από κάθε βήμα

Πρακτικοί οδηγοί

Βήμα 1 · οδηγός

Δημιουργήστε ένα συμμορφούμενο SBOM

Ο κατάλογος υλικών λογισμικού αποτελεί απαρέγκλιτη νομική απαίτηση βάσει του παραρτήματος I, Μέρος II, Σημείο 1. Ο παρών οδηγός καλύπτει το υποχρεωτικό πεδίο εφαρμογής και μορφότυπο, τον τρόπο δημιουργίας του και τον τρόπο με τον οποίο τροφοδοτεί τον βρόχο παρακολούθησης.

1 · Νομική βάση

Το παράρτημα I, Μέρος II («Απαιτήσεις χειρισμού ευπαθειών»), Σημείο 1 απαιτεί από τους κατασκευαστές να «εντοπίζει και τεκμηριώνει τις ευπάθειες και τα συστατικά … μεταξύ άλλων με την κατάρτιση καταλόγου υλικών λογισμικού σε ευρέως χρησιμοποιούμενο και μηχαναγνώσιμο μορφότυπο που καλύπτει τουλάχιστον τις εξαρτήσεις ανώτατου επιπέδου του προϊόντος.»

Σε αντίθεση με ορισμένες διατάξεις του CRA που επιτρέπουν ερμηνευτική ευελιξία, η υποχρέωση παραγωγής μηχαναγνώσιμου SBOM που καλύπτει τουλάχιστον τις εξαρτήσεις ανώτατου επιπέδου δεν επιτρέπει εναλλακτικές προσεγγίσεις.

2 · Υποχρεωτικό πεδίο εφαρμογής και μορφότυπος

Κάλυψη συστατικών. Το SBOM πρέπει να τεκμηριώνει όλες τις εξαρτήσεις ανώτατου επιπέδου, που αποτελούν το νομικό κατώτατο όριο και όχι τον συνιστώμενο στόχο. Αντιστοιχίστε τις μεταβατικές (έμμεσες) εξαρτήσεις όπου είναι εφικτό· ένα ρηχό SBOM ικανοποιεί το γράμμα του νόμου αλλά συχνά είναι ανεπαρκές για την αποτελεσματική διαχείριση ευπαθειών.

Μορφότυπος. Ο CRA επιβάλλει «ευρέως χρησιμοποιούμενο, μηχαναγνώσιμο μορφότυπο». Οι αποδεκτοί μορφότυποι περιλαμβάνουν:

  • SPDX (ISO/IEC 5962:2021): ευρέως υιοθετημένο, εστιασμένο στις άδειες χρήσης, κατάλληλο για την τεκμηρίωση συμμόρφωσης.
  • CycloneDX: επικεντρωμένο στην ασφάλεια, ιδιαίτερα κατάλληλο για ροές εργασίας διαχείρισης ευπαθειών.
  • Άλλοι δομημένοι μορφότυποι (JSON, XML) από αναγνωρισμένα εργαλεία είναι γενικά αποδεκτοί βάσει της βασικής απαίτησης.
Σημαντικό

Μην αποθηκεύετε τα SBOM ως PDF. Το PDF ενδέχεται να αμφισβητηθεί ως μη μηχαναγνώσιμο από τις αρχές εποπτείας της αγοράς. Αποθηκεύετε το εγγενές αποτέλεσμα JSON, XML ή tag-value από την αλυσίδα εργαλείων σας.

Απαιτούμενα πεδία μεταδεδομένων

ΠεδίοΠεριγραφή
Όνομα συστατικούΜοναδικό αναγνωριστικό για τη βιβλιοθήκη, το πακέτο ή τη μονάδα
ΈκδοσηΑκριβής συμβολοσειρά έκδοσης· τα εύρη εκδόσεων δεν επαρκούν
Προμηθευτής / προέλευσηΌνομα εκδότη, προμηθευτή ή έργου ανοιχτού κώδικα
Σχέσεις εξαρτήσεωνΆμεσες έναντι μεταβατικών· γράφημα εξαρτήσεων όπου είναι εφικτό
Κρυπτογραφικός κατακερματισμόςΈλεγχος ακεραιότητας SHA-256 ή ισχυρότερος ανά συστατικό
Αναγνωριστικό άδειαςΈκφραση άδειας SPDX (π.χ. Apache-2.0, MIT)

3 · Δημιουργία του SBOM σας

Οι περισσότερες σύγχρονες πλατφόρμες μπορούν να δημιουργήσουν SBOM αυτόματα κατά τον χρόνο κατασκευής χωρίς πρόσθετο κόστος:

  • GitHub / Actions: Γράφημα Εξαρτήσεων → Εξαγωγή SBOM (Ρυθμίσεις → Ασφάλεια κώδικα). Παράγει SPDX JSON.
  • GitLab: Οι αναφορές CycloneDX παράγονται εγγενώς από την εργασία CI/CD σάρωσης εξαρτήσεων.
  • Syft (Anchore): εργαλείο γραμμής εντολών ανοιχτού κώδικα που παράγει SPDX και CycloneDX για εικόνες κοντέινερ, συστήματα αρχείων και δηλώσεις πακέτων.
  • cdxgen: SBOM CycloneDX για npm, Maven, pip, Go, Rust και άλλα.

Έλεγχος ευπαθειών. Πριν οριστικοποιήσετε οποιοδήποτε SBOM, ελέγξτε κάθε συστατικό έναντι βάσεων δεδομένων γνωστών ευπαθειών. Τόσο ο σαρωτής του GitHub όσο και το Syft ενσωματώνονται με το Grype γι' αυτό. Η συμπερίληψη ενός συστατικού με γνωστή, ήδη διορθωμένη ευπάθεια συνιστά άμεση παράβαση του παραρτήματος I και δεν επιδέχεται ερμηνευτική ευελιξία.

Προειδοποίηση · γνωστή ευπάθεια = παράβαση

Εάν υπάρχει διορθωμένη έκδοση ενός συστατικού, οφείλετε να τη χρησιμοποιήσετε. Δεν υπάρχει κατηγορία «αποδεκτού κινδύνου» στο πλαίσιο του CRA για επιλυμένες ευπάθειες. Λάβετε μέτρα για κάθε εύρημα πριν από τη διάθεση του προϊόντος στην αγορά.

4 · Συντήρηση και διατήρηση κατά τον κύκλο ζωής

Ένα SBOM είναι ένα ζωντανό τεχνούργημα, που ενημερώνεται συνεχώς καθ' όλη τη διάρκεια του υποστηριζόμενου κύκλου ζωής του προϊόντος ώστε να αποτυπώνει διορθωμένα συστατικά, νέες εξαρτήσεις, αφαιρεθέντα συστατικά που έχουν φθάσει στο τέλος ζωής τους και αλλαγές στην αλυσίδα εφοδιασμού. Όλες οι εκδόσεις της τεχνικής τεκμηρίωσης, συμπεριλαμβανομένων των SBOM, πρέπει να διατηρούνται για τουλάχιστον 10 έτη από την πρώτη διάθεση στην αγορά…

Διαβάστε τον πλήρη οδηγό

Ενότητες 4–9: κύκλος ζωής, κυρώσεις, BSI TR-03183-2 & ο κατάλογος ελέγχου ετοιμότητας

Το υπόλοιπο μέρος του οδηγού καλύπτει το καθήκον διατήρησης 10 ετών, την εμπιστευτικότητα και τη γνωστοποίηση στην αλυσίδα εφοδιασμού, την ενσωμάτωση με την αναφορά ευπαθειών του άρθρου 14, τη συχνότητα παρακολούθησης, τους αυστηρότερους κανόνες της γερμανικής BSI, τα πρόστιμα (έως 15 εκατ. € ή 2,5% του κύκλου εργασιών), και έναν έτοιμο προς χρήση κατάλογο ελέγχου ετοιμότητας.

Θα σας προσθέσουμε στο ενημερωτικό δελτίο CRA. Καταργήστε την εγγραφή ανά πάσα στιγμή. Χωρίς ανεπιθύμητα μηνύματα. Δείτε την πολιτική απορρήτου.
Συνεχίστε

Σχετικά εργαλεία & ανάλυση

Μήτρα συμμόρφωσης

Κάθε υποχρέωση κύκλου ζωής με την παραπομπή στο άρθρο της· παρακολουθήστε την πρόοδό σας και μεταφορτώστε τον πλήρη κατάλογο ελέγχου.

Ανοίξτε τη μήτρα →

Τρέχουσα κατάσταση

Πού βρίσκεται ο CRA σήμερα: εκτελεστικές πράξεις, εναρμονισμένα πρότυπα και η πορεία προς τον Δεκέμβριο του 2027.

Διαβάστε την τρέχουσα κατάσταση →

Υπολογιστής κόστους

Μια ενδεικτική εκτίμηση του πιθανού κόστους επίτευξης και διατήρησης της συμμόρφωσης.

Ανοίξτε τον υπολογιστή →