Analiza ranjivosti i SBOM
CRA pretvara vaš popis sastavnica softvera u živu obvezu: znajte što je u vašem proizvodu, pratite nove ranjivosti tih komponenata te ih ispravljajte i prijavljujte u rokovima iz članka 14. Ova stranica prolazi kroz taj ciklus i besplatan alat koji ga provodi.
Izradite SBOM
Izradite strojno čitljiv popis sastavnica softvera koji obuhvaća barem vaše ovisnosti najviše razine. To je čvrst zahtjev, a ne najbolja praksa.
Kako ga izraditi ↓Pratite ranjivosti
Kontinuirano uspoređujte svaku komponentu s aktualnim podacima o ranjivostima (NVD, EUVD). Skupni sažeci obavijesti ne zadovoljavaju rok od 24 sata.
Zašto su sažeci nedostatni ↓Procijenite, ispravite i prijavite
Dokumentirajte iskoristivost, isporučite ispravak i prijavite aktivno iskorištavane ranjivosti ENISA-i i CSIRT-u prema rokovima od 24 h / 72 h / 14 dana.
Alat koji to radi ↓CRA analizator ranjivosti
Učitajte svoj SBOM i popis aktivnih ranjivosti. Analizator uspoređuje svaku komponentu s nacionalnom bazom podataka o ranjivostima (NVD) i bazom podataka EU-a o ranjivostima (EUVD), označava komponente na kraju životnog vijeka i generira izvješće o sukladnosti koje možete priložiti svojoj tehničkoj dokumentaciji.
Vodiči s uputama
Izradite sukladan SBOM
Popis sastavnica softvera čvrst je pravni zahtjev na temelju Priloga I., dijela II., točke (1). Ovaj vodič obuhvaća obvezni opseg i format, kako ga izraditi i kako se uklapa u ciklus praćenja.
1 · Pravna osnova
Prilog I., dio II. („Zahtjevi za postupanje s ranjivostima”), točka (1) zahtijeva da proizvođači „utvrditi i dokumentirati ranjivosti i komponente … uključujući izradom popisa sastavnica softvera u uobičajeno upotrebljavanom i strojno čitljivom formatu koji obuhvaća barem ovisnosti najviše razine proizvoda.”
Za razliku od nekih odredbi CRA-a koje dopuštaju fleksibilnost u tumačenju, obveza izrade strojno čitljivog SBOM-a koji obuhvaća barem ovisnosti najviše razine ne dopušta alternativne pristupe.
2 · Obvezni opseg i format
Obuhvat komponenata. SBOM mora dokumentirati sve ovisnosti najviše razine, što je zakonski minimum, a ne preporučeni cilj. Mapirajte tranzitivne (neizravne) ovisnosti gdje god je izvedivo; plitak SBOM zadovoljava slovo zakona, ali često nije dostatan za učinkovito upravljanje ranjivostima.
Format. CRA propisuje „uobičajeno upotrebljavan, strojno čitljiv format”. Prihvaćeni formati uključuju:
- SPDX (ISO/IEC 5962:2021): široko prihvaćen, usmjeren na licenciranje, prikladan za dokumentaciju o sukladnosti.
- CycloneDX: usmjeren na sigurnost, dobro prilagođen tijekovima rada za upravljanje ranjivostima.
- Drugi strukturirani formati (JSON, XML) iz priznatih alata općenito su prihvatljivi u skladu s osnovnim zahtjevom.
Ne pohranjujte SBOM-ove kao PDF. Tijela za nadzor tržišta mogu osporiti PDF kao strojno nečitljiv. Pohranite izvorni izlaz JSON, XML ili tag-value iz svojeg lanca alata.
Obvezna polja metapodataka
| Polje | Opis |
|---|---|
| Naziv komponente | Jedinstveni identifikator za biblioteku, paket ili modul |
| Verzija | Točan niz verzije; rasponi verzija nisu dostatni |
| Dobavljač / podrijetlo | Naziv izdavača, dobavljača ili projekta otvorenog koda |
| Odnosi ovisnosti | Izravne naspram tranzitivnih; graf ovisnosti gdje je izvedivo |
| Kriptografski sažetak | SHA-256 ili jača provjera cjelovitosti po komponenti |
| Identifikator licencije | SPDX izraz licencije (npr. Apache-2.0, MIT) |
3 · Izrada SBOM-a
Većina modernih platformi može automatski izraditi SBOM-ove tijekom izrade bez dodatnih troškova:
- GitHub / Actions: Dependency Graph → Export SBOM (Postavke → Sigurnost koda). Daje SPDX JSON.
- GitLab: CycloneDX izvješća izvorno generira CI/CD zadatak za skeniranje ovisnosti.
- Syft (Anchore): CLI otvorenog koda koji izrađuje SPDX i CycloneDX za slike spremnika, datotečne sustave i manifeste paketa.
- cdxgen: CycloneDX SBOM-ovi za npm, Maven, pip, Go, Rust i druge.
Provjera ranjivosti. Prije finaliziranja bilo kojeg SBOM-a provjerite svaku komponentu u odnosu na baze poznatih ranjivosti. I GitHubov skener i Syft integriraju se s Grype za to. Uključivanje komponente s poznatom, već zakrpanom ranjivošću izravna je povreda Priloga I. i ne dopušta fleksibilnost u tumačenju.
Ako postoji zakrpana verzija komponente, morate je upotrijebiti. U CRA-u ne postoji kategorija „prihvaćenog rizika” za riješene ranjivosti. Postupite po svakom nalazu prije stavljanja proizvoda na tržište.
4 · Održavanje tijekom životnog ciklusa i čuvanje
SBOM je živi artefakt koji se kontinuirano ažurira tijekom podržanog životnog ciklusa proizvoda kako bi odražavao zakrpane komponente, nove ovisnosti, uklonjene komponente na kraju životnog vijeka i promjene u lancu opskrbe. Sve verzije tehničke dokumentacije, uključujući SBOM-ove, moraju se čuvati najmanje 10 godina od prvog stavljanja na tržište…
Odjeljci 4.–9.: životni ciklus, sankcije, BSI TR-03183-2 i kontrolni popis spremnosti
Ostatak vodiča obuhvaća obvezu čuvanja od 10 godina, povjerljivost i objavu u lancu opskrbe, integraciju s izvješćivanjem o ranjivostima iz članka 14., učestalost praćenja, stroža njemačka BSI pravila, novčane kazne (do 15 mil. € ili 2,5 % prometa) i gotov kontrolni popis spremnosti.
Povezani alati i analize
Matrica sukladnosti
Svaka obveza tijekom životnog ciklusa s upućivanjem na članak; pratite svoj napredak i preuzmite cijeli kontrolni popis.
Trenutačno stanje
Gdje je CRA danas: provedbeni akti, usklađene norme i put do prosinca 2027.
Kalkulator troškova
Okvirna procjena vjerojatnog troška postizanja i održavanja sukladnosti.