Nõrkuste analüüs ja SBOM
CRA muudab teie tarkvara koostisosade loendi elavaks kohustuseks: teadke, mis teie tootes on, jälgige neid komponente uute nõrkuste osas ning parandage ja teavitage neist artikli 14 tähtaegade jooksul. See leht tutvustab tsüklit ja seda käivitavat tasuta tööriista.
Genereerige SBOM
Koostage masinloetav tarkvara koostisosade loend, mis hõlmab vähemalt teie ülataseme sõltuvusi. See on range nõue, mitte parim tava.
Kuidas seda genereerida ↓Jälgige nõrkusi
Ristkontrollige pidevalt iga komponenti reaalajas nõrkusandmete suhtes (NVD, EUVD). Pakettidena koondatud teavituskokkuvõtted ei vasta 24 tunni tähtajale.
Miks kokkuvõtted ei piisa ↓Hindamine, parandamine ja teavitamine
Dokumenteerige ärakasutatavus, tarnige parandus ja teavitage aktiivselt ärakasutatavatest nõrkustest ENISAt ja CSIRTi 24 t / 72 t / 14 päeva tähtaja jooksul.
Tööriist, mis seda teeb ↓CRA nõrkuste analüsaator
Laadige üles oma SBOM ja aktiivsete nõrkuste loend. Analüsaator ristkontrollib iga komponenti riikliku nõrkuste andmebaasi (NVD) ja ELi nõrkuste andmebaasi (EUVD) suhtes, märgistab olelusringi lõppu jõudvad komponendid ning genereerib vastavusaruande, mille saate oma tehnilisele toimikule lisada.
Juhendid
Genereerige nõuetele vastav SBOM
Tarkvara koostisosade loend on range õiguslik nõue I lisa II osa punkti 1 alusel. See juhend käsitleb kohustuslikku ulatust ja vormingut, selle loomist ning seda, kuidas see toidab seiretsüklit.
1 · Õiguslik alus
I lisa II osa („Nõrkuste käsitlemise nõuded“) punkt 1 nõuab tootjatelt, et nad „teha kindlaks ja dokumenteerida nõrkused ja komponendid … sealhulgas koostades tarkvara koostisosade loendi üldkasutatavas ja masinloetavas vormingus, mis hõlmab vähemalt toote ülataseme sõltuvusi.“
Erinevalt mõnest CRA sättest, mis lubavad tõlgenduslikku paindlikkust, ei luba kohustus koostada vähemalt ülataseme sõltuvusi hõlmav masinloetav SBOM alternatiivseid lähenemisviise.
2 · Kohustuslik ulatus ja vorming
Komponentide katvus. SBOM peab dokumenteerima kõik ülataseme sõltuvused, mis on õiguslik miinimum, mitte soovitatav eesmärk. Kaardistage kaudsed (transitiivsed) sõltuvused, kui see on võimalik; pinnapealne SBOM täidab seaduse sõnastuse, kuid sageli ei piisa sellest tulemuslikuks nõrkuste haldamiseks.
Vorming. CRA nõuab „üldkasutatavat masinloetavat vormingut“. Aktsepteeritud vormingute hulka kuuluvad:
- SPDX (ISO/IEC 5962:2021): laialdaselt kasutusel, litsentsikeskne, sobib vastavusdokumentatsiooni jaoks.
- CycloneDX: turvalisusele keskendunud, sobib hästi nõrkuste haldamise töövoogudesse.
- Muud struktureeritud vormingud (JSON, XML) tunnustatud tööriistadest on baasnõude alusel üldjuhul vastuvõetavad.
Ärge salvestage SBOMe PDF-vormingus. Turujärelevalveasutused võivad PDFi masinloetamatuse tõttu vaidlustada. Salvestage oma tööriistakomplekti natiivne JSON-, XML- või tag-value-väljund.
Nõutavad metaandmete väljad
| Väli | Kirjeldus |
|---|---|
| Komponendi nimi | Teegi, paketi või mooduli unikaalne identifikaator |
| Versioon | Täpne versioonistring; versioonivahemikud ei ole piisavad |
| Tarnija / päritolu | Avaldaja, tarnija või avatud lähtekoodiga projekti nimi |
| Sõltuvuste seosed | Otsene vs kaudne; sõltuvuste graafik, kui võimalik |
| Krüptograafiline räsi | SHA-256 või tugevam terviklusekontroll komponendi kohta |
| Litsentsi identifikaator | SPDX litsentsiavaldis (nt Apache-2.0, MIT) |
3 · SBOMi loomine
Enamik kaasaegseid platvorme suudab genereerida SBOMe automaatselt ehitamise ajal ilma lisakuludeta:
- GitHub / Actions: Dependency Graph → Export SBOM (Settings → Code security). Väljastab SPDX JSON-i.
- GitLab: CycloneDX aruandeid genereerib natiivselt sõltuvuste skaneerimise CI/CD-töö.
- Syft (Anchore): avatud lähtekoodiga käsureatööriist, mis loob SPDX- ja CycloneDX-vorminguid konteinertõmmiste, failisüsteemide ja pakettide manifestide jaoks.
- cdxgen: CycloneDX SBOMid npm-i, Maveni, pip-i, Go, Rusti ja muude jaoks.
Nõrkuste kontroll. Enne mis tahes SBOMi viimistlemist kontrollige iga komponenti teadaolevate nõrkuste andmebaaside suhtes. Nii GitHubi skanner kui ka Syft integreeruvad Grype selleks. Teadaoleva juba parandatud nõrkusega komponendi kaasamine on I lisa otsene rikkumine ega võimalda tõlgenduslikku paindlikkust.
Kui komponendist on olemas parandatud versioon, peate seda kasutama. CRA alusel ei ole lahendatud nõrkuste jaoks „riski aktsepteeritud“ kategooriat. Tegutsege iga leiu suhtes enne toote turule laskmist.
4 · Olelusringi hooldus ja säilitamine
SBOM on elav dokument, mida ajakohastatakse pidevalt kogu toote toetatava olelusringi vältel, et kajastada parandatud komponente, uusi sõltuvusi, eemaldatud olelusringi lõppu jõudnud komponente ja tarneahela muutusi. Kõik tehnilise dokumentatsiooni versioonid, sealhulgas SBOMid, tuleb säilitada vähemalt 10 aastat alates esmasest turule laskmisest…
Jaotised 4–9: olelusring, karistused, BSI TR-03183-2 ja valmisoleku kontrollnimekiri
Ülejäänud juhend käsitleb 10-aastast säilitamiskohustust, konfidentsiaalsust ja tarneahela avalikustamist, integreerimist artikli 14 nõrkustest teavitamisega, seire sagedust, Saksamaa rangemaid BSI reegleid, trahve (kuni 15 mln € või 2,5% käibest) ja kasutusvalmis valmisoleku kontrollnimekirja.
Seotud tööriistad ja analüüs
Vastavusmaatriks
Iga olelusringi kohustus koos artikliviitega; jälgige oma edenemist ja laadige alla täielik kontrollnimekiri.
Praegune seis
Kus CRA täna seisab: rakendusaktid, harmoneeritud standardid ja tee 2027. aasta detsembrini.
Kulukalkulaator
Näitlik hinnang selle kohta, kui palju vastavuse saavutamine ja säilitamine tõenäoliselt maksab.