Treoir neamhspleách ar Rialachán (AE) 2024/2847 · Stádas: i bhfeidhm
Is aistriúchán uathoibríoch (IS) é an leathanach seo agus níor athbhreithnigh duine é.
Anailís · lúb láimhseála leochaileachtaí an CRA

Anailís leochaileachtaí agus SBOM

Athraíonn an CRA do bhille ábhar bogearraí ina oibleagáid bheo: bíodh a fhios agat cad atá i do tháirge, faire ar na comhpháirteanna sin le haghaidh leochaileachtaí nua, agus deisigh agus tuairiscigh iad laistigh de spriocdhátaí Airteagal 14. Siúlann an leathanach seo an lúb, agus an uirlis saor in aisce a ritheann í.

1

Gin SBOM

Táirg bille ábhar bogearraí atá inléite ag meaisín a chumhdaíonn ar a laghad do spleáchais barrleibhéil. Is ceanglas docht é seo, ní dea-chleachtas.

Conas é a ghiniúint ↓
2

Déan monatóireacht ar leochaileachtaí

Déan gach comhpháirt a chroschur go leanúnach i gcoinne sonraí leochaileachtaí beo (NVD, EUVD). Ní chomhlíonann achoimrí fógra baisceáilte an fhuinneog 24 uair an chloig.

Cén fáth nach leor achoimrí ↓
3

Déan measúnú, deisigh agus tuairiscigh

Doiciméadaigh inshaothraitheacht, seol deisiú, agus tuairiscigh leochaileachtaí a shaothraítear go gníomhach do ENISA agus don CSIRT ar an amlíne 24u / 72u / 14 lá.

An uirlis a dhéanann é seo ↓
Lúb leanúnach ar feadh thréimhse tacaíochta an táirge
An t-inneall · ritheann céimeanna 2 agus 3 · saor in aisce, arna óstáil ar i46

Anailíseoir Leochaileachtaí CRA

Uaslódáil do SBOM agus do liosta leochaileachtaí gníomhacha. Croschuireann an tAnailíseoir gach comhpháirt i gcoinne an Bhunachair Náisiúnta Leochaileachtaí (NVD) agus Bhunachar Leochaileachtaí an AE (EUVD), brataíonn sé comhpháirteanna ag Deireadh a Saoil, agus gineann sé tuarascáil chomhlíontachta is féidir leat a cheangal le do chomhad teicniúil.

Oscail an tAnailíseoir sbom.i46.cz · osclaíonn sé i gcluaisín nua
1Gin SBOM le syft (SPDX JSON) agus liosta leochaileachtaí gníomhacha le debsecan.
2Uaslódáil an dá chomhad; tarraing agus scaoil nó brabhsáil.
3Déantar comhpháirteanna a chroschur i gcoinne NVD agus EUVD; déantar rianú ar stádas EOL.
4Íoslódáil Tuarascáil Word le measúnuithe riosca agus doiciméadúchán EOL.
An mhionsonra taobh thiar de gach céim

Treoracha conas-déanta

Céim 1 · conas-déanta

Gin SBOM comhlíontach

Is ceanglas dlíthiúil docht é bille ábhar bogearraí faoi Iarscríbhinn I, Cuid II, Pointe (1). Cumhdaíonn an treoir seo an raon feidhme agus an fhormáid éigeantach, an chaoi le ceann a ghiniúint, agus an chaoi a gcothaíonn sé an lúb monatóireachta.

1 · Bunús dlí

Éilíonn Iarscríbhinn I, Cuid II ("Ceanglais Láimhseála Leochaileachtaí"), Pointe (1) ar mhonaróirí "leochtóireachtaí agus comhpháirteanna a aithint agus a dhoiciméadú … lena n-áirítear bille ábhar bogearraí a tharraingt suas i bhformáid a úsáidtear go coitianta agus atá inléite ag meaisín, a chumhdaíonn ar a laghad spleáchais barrleibhéil an táirge."

Murab ionann agus roinnt forálacha CRA a cheadaíonn solúbthacht léirmhínithe, ní cheadaíonn an oibleagáid SBOM atá inléite ag meaisín a tháirgeadh a chumhdaíonn ar a laghad spleáchais barrleibhéil cuir chuige eile.

2 · Raon feidhme agus formáid éigeantach

Cumhdach comhpháirteanna. Caithfidh an SBOM gach spleáchas barrleibhéil a dhoiciméadú, an t-íosmhéid dlíthiúil seachas an sprioc mholta. Mapáil spleáchais neamhdhíreacha cibé áit is indéanta; sásaíonn SBOM éadomhain litir an dlí ach is minic nach leor é le haghaidh bainistíocht éifeachtach leochaileachtaí.

Formáid. Sainordaíonn an CRA "formáid a úsáidtear go coitianta, atá inléite ag meaisín". Áirítear ar na formáidí inghlactha:

  • SPDX (ISO/IEC 5962:2021): glactha go forleathan, dírithe ar cheadúnais, oiriúnach do dhoiciméadúchán comhlíontachta.
  • CycloneDX: dírithe ar shlándáil, oiriúnach do shreafaí oibre bainistíochta leochaileachtaí.
  • Tá formáidí struchtúrtha eile (JSON, XML) ó uirlisí aitheanta inghlactha go ginearálta faoin gceanglas bonnlíne.
Tábhachtach

Ná stóráil SBOManna mar PDF. D'fhéadfadh údaráis faireachais margaidh dúshlán a thabhairt do PDF mar rud nach bhfuil inléite ag meaisín. Stóráil an t-aschur dúchasach JSON, XML nó luach-chlib ó do shlabhra uirlisí.

Réimsí meiteashonraí riachtanacha

RéimseCur síos
Ainm na comhpháirteAitheantóir uathúil don leabharlann, don phacáiste nó don mhodúl
LeaganTeaghrán leagain beacht; níl raonta leaganacha leordhóthanach
Soláthróir / bunúsAinm an fhoilsitheora, an díoltóra nó an tionscadail foinse oscailte
Caidrimh spleáchaisDíreach vs. neamhdhíreach; graf spleáchas nuair is indéanta
Haiseáil chripteagrafachSeiceáil sláine SHA-256 nó níos láidre in aghaidh na comhpháirte
Aitheantóir ceadúnaisSlonn ceadúnais SPDX (m.sh. Apache-2.0, MIT)

3 · Do SBOM a ghiniúint

Is féidir le formhór na n-ardán nua-aimseartha SBOManna a ghiniúint go huathoibríoch ag am tógála gan aon chostas breise:

  • GitHub / Actions: Graf Spleáchas → Easpórtáil SBOM (Socruithe → Slándáil cóid). Aschuireann sé SPDX JSON.
  • GitLab: Gintear tuarascálacha CycloneDX go dúchasach ag an bpost CI/CD scanta spleáchas.
  • Syft (Anchore): CLI foinse oscailte a tháirgeann SPDX agus CycloneDX le haghaidh íomhánna coimeádáin, córais chomhad agus lastliostaí pacáiste.
  • cdxgen: SBOManna CycloneDX ar fud npm, Maven, pip, Go, Rust agus tuilleadh.

Scagadh leochaileachtaí. Sula dtugtar aon SBOM chun críche, scag gach comhpháirt i gcoinne bunachair sonraí leochaileachtaí aitheanta. Comhtháthaíonn scanóir GitHub agus Syft araon le Grype le haghaidh seo. Is sárú díreach ar Iarscríbhinn I é comhpháirt a bhfuil leochaileacht aitheanta, atá paisteáilte cheana, a chur san áireamh agus níl aon solúbthacht léirmhínithe ag baint leis.

Rabhadh · leochaileacht aitheanta = sárú

Má tá leagan paisteáilte de chomhpháirt ann, caithfidh tú é a úsáid. Níl aon chatagóir "riosca glactha" faoin CRA do leochaileachtaí réitithe. Gníomhaigh ar gach toradh sula gcuirtear an táirge ar an margadh.

4 · Cothabháil saolré agus coinneáil

Is déantán beo é SBOM, a nuashonraítear go leanúnach ar feadh shaolré tacaithe an táirge chun comhpháirteanna paisteáilte, spleáchais nua, comhpháirteanna ag deireadh a saoil a baineadh, agus athruithe slabhra soláthair a léiriú. Caithfear gach leagan den doiciméadúchán teicniúil, lena n-áirítear SBOManna, a choinneáil ar feadh 10 mbliana ar a laghad ón gcéad chur ar an margadh…

Léigh an treoir iomlán

Ranna 4–9: saolré, pionóis, BSI TR-03183-2 agus an seicliosta ullmhachta

Cumhdaíonn an chuid eile den treoir an dualgas coinneála 10 mbliana, rúndacht agus nochtadh slabhra soláthair, comhtháthú le tuairisciú leochaileachtaí Airteagal 14, minicíocht monatóireachta, rialacha BSI níos déine na Gearmáine, na fíneálacha (suas le €15M nó 2.5% den láimhdeachas), agus seicliosta ullmhachta réidh le húsáid.

Cuirfimid leis an nuachtlitir CRA thú. Díliostáil tráth ar bith. Gan turscar. Féach ár beartas príobháideachais.
Lean ort

Uirlisí agus anailís ghaolmhar

Maitrís chomhlíontachta

Gach oibleagáid saolré lena tagairt airteagail; déan rianú ar do dhul chun cinn agus íoslódáil an seicliosta iomlán.

Oscail an mhaitrís →

An staid reatha

Cá seasann an CRA inniu: gníomhartha cur chun feidhme, caighdeáin chomhchuibhithe agus an bóthar go Nollaig 2027.

Léigh an staid reatha →

Áireamhán costais

Meastachán léiritheach ar a mbeidh comhlíontacht a bhaint amach agus a chothabháil dóchúil a chosaint.

Oscail an t-áireamhán →