분석 · CRA 취약점 처리 루프

취약점 분석 및 SBOM

CRA는 귀하의 소프트웨어 자재 명세서를 살아있는 의무로 전환합니다: 제품에 무엇이 들어 있는지 파악하고, 해당 구성요소를 새로운 취약점에 대해 감시하며, 제14조의 기한 내에 수정 및 보고하십시오. 이 페이지는 그 루프와 이를 실행하는 무료 도구를 안내합니다.

1→

SBOM을 생성하십시오

최소한 귀하의 최상위 종속성을 포함하는 기계 판독이 가능한 소프트웨어 자재 명세서를 생성하십시오. 이는 모범 사례가 아니라 강력한 요구사항입니다.

생성 방법 ↓

2→

취약점을 모니터링하십시오

모든 구성요소를 실시간 취약점 데이터(NVD, EUVD)와 지속적으로 상호 참조하십시오. 일괄 처리된 알림 다이제스트는 24시간 기한을 충족하지 못합니다.

다이제스트가 부족한 이유 ↓

평가, 수정 및 보고

악용 가능성을 문서화하고, 수정사항을 배포하며, 적극적으로 악용되는 취약점을 24시간 / 72시간 / 14일 일정에 따라 ENISA 및 CSIRT에 보고하십시오.

이를 수행하는 도구 ↓

제품의 지원 기간 전반에 걸친 연속적인 루프

엔진 · 2단계 및 3단계 실행 · 무료, i46에서 호스팅

CRA 취약점 분석기

귀하의 SBOM과 활성 취약점 목록을 업로드하십시오. 분석기는 모든 구성요소를 국가 취약점 데이터베이스(NVD) 및 EU 취약점 데이터베이스(EUVD)와 상호 참조하고, 수명 종료 구성요소를 표시하며, 귀하의 기술 파일에 첨부할 수 있는 규정 준수 보고서를 생성합니다.

분석기 열기 ↗sbom.i46.cz · 새 탭에서 열림

1다음으로 SBOM을 생성하십시오 syft (SPDX JSON) 및 활성 취약점 목록과 함께 debsecan.

2두 파일을 모두 업로드하십시오; 드래그 앤 드롭하거나 찾아보십시오.

3구성요소는 다음과 상호 참조됩니다 NVD 및 EUVD; EOL 상태가 추적됩니다.

4다음을 다운로드하십시오 Word 보고서 위험 평가 및 EOL 문서와 함께.

각 단계의 세부 사항

사용 방법 가이드

1단계 · 사용 방법

적합한 SBOM을 생성하십시오

소프트웨어 자재 명세서(SBOM)는 부속서 I, 제II부, 항목 (1)에 따른 강력한 법적 요구사항입니다. 본 가이드는 필수 적용 범위 및 형식, 생성 방법, 그리고 이것이 모니터링 루프에 어떻게 반영되는지를 다룹니다.

1 · 법적 근거

부속서 I, 제II부("취약점 처리 요구사항"), 항목 (1)은 제조자에게 다음을 요구합니다 "제품의 최소한 최상위 종속성을 포함하는, 일반적으로 사용되고 기계 판독이 가능한 형식의 소프트웨어 자재 명세서(SBOM)를 작성하는 것을 포함하여 취약점과 구성요소를 식별하고 문서화한다."

해석적 유연성을 허용하는 일부 CRA 조항과 달리, 최소한 최상위 종속성을 포함하는 기계 판독이 가능한 SBOM을 생성할 의무는 대안적 접근을 허용하지 않습니다.

2 · 필수 적용 범위 및 형식

구성요소 적용 범위. SBOM은 권장 목표가 아니라 법적 최저선인 모든 최상위 종속성을 문서화해야 합니다. 가능한 모든 곳에서 전이(간접) 종속성을 매핑하십시오; 얕은 SBOM은 법의 문언을 충족하지만 효과적인 취약점 관리에는 종종 불충분합니다.

형식. CRA는 "일반적으로 사용되고 기계 판독이 가능한 형식"을 의무화합니다. 허용되는 형식은 다음과 같습니다:

SPDX (ISO/IEC 5962:2021): 널리 채택되었으며, 라이선스 중심으로 규정 준수 문서화에 적합합니다.
CycloneDX: 보안 중심으로, 취약점 관리 워크플로에 적합합니다.
인정된 도구의 기타 구조화된 형식(JSON, XML)은 일반적으로 기준 요구사항에 따라 허용됩니다.

중요

SBOM을 PDF로 저장하지 마십시오. PDF는 시장 감시 당국에 의해 기계 판독이 불가능하다는 이유로 이의가 제기될 수 있습니다. 귀하의 도구 체인에서 생성된 네이티브 JSON, XML 또는 태그-값 출력을 저장하십시오.

필수 메타데이터 필드

필드	설명
구성요소 명칭	라이브러리, 패키지 또는 모듈의 고유 식별자
버전	정확한 버전 문자열; 버전 범위는 불충분합니다
공급자 / 출처	발행자, 공급업체 또는 오픈소스 프로젝트 명칭
종속성 관계	직접 대 전이; 가능한 경우 종속성 그래프
암호화 해시	구성요소당 SHA-256 이상의 무결성 점검
라이선스 식별자	SPDX 라이선스 표현 (예: Apache-2.0, MIT)

3 · SBOM 생성

대부분의 최신 플랫폼은 추가 비용 없이 빌드 시점에 SBOM을 자동으로 생성할 수 있습니다:

GitHub / Actions: 종속성 그래프 → SBOM 내보내기 (설정 → 코드 보안). SPDX JSON을 출력합니다.
GitLab: CycloneDX 보고서는 종속성 스캐닝 CI/CD 작업에 의해 기본적으로 생성됩니다.
Syft (Anchore): 컨테이너 이미지, 파일 시스템 및 패키지 매니페스트에 대해 SPDX 및 CycloneDX를 생성하는 오픈소스 CLI입니다.
cdxgen: npm, Maven, pip, Go, Rust 등에 걸친 CycloneDX SBOM.

취약점 선별. SBOM을 최종 확정하기 전에 모든 구성요소를 알려진 취약점 데이터베이스와 대조하여 선별하십시오. GitHub의 스캐너와 Syft는 모두 다음과 통합됩니다 Grype 이를 위한 것. 알려진, 이미 패치된 취약점이 있는 구성요소를 포함하는 것은 부속서 I의 직접적인 위반이며 해석적 유연성을 허용하지 않습니다.

경고 · 알려진 취약점 = 위반

구성요소의 패치된 버전이 존재하면 반드시 사용해야 합니다. CRA에는 해결된 취약점에 대한 "위험 수용" 카테고리가 없습니다. 제품을 시장에 출시하기 전에 모든 발견 사항에 대해 조치하십시오.

4 · 수명 주기 유지보수 및 보관

SBOM은 패치된 구성요소, 신규 종속성, 제거된 수명 종료 구성요소 및 공급망 변경을 반영하기 위해 제품의 지원되는 수명 주기 전반에 걸쳐 지속적으로 업데이트되는 살아있는 산출물입니다. SBOM을 포함한 모든 버전의 기술 문서는 최초 시장 출시로부터 최소 10년간 보관되어야 합니다…

전체 가이드 읽기

섹션 4–9: 수명 주기, 벌칙, BSI TR-03183-2 및 준비 체크리스트

가이드의 나머지 부분은 10년 보관 의무, 기밀성 및 공급망 공개, 제14조 취약점 보고와의 통합, 모니터링 빈도, 독일의 더 엄격한 BSI 규칙, 벌금(최대 1,500만 € 또는 매출액의 2.5%), 그리고 바로 사용 가능한 준비 체크리스트를 다룹니다.

계속 진행하십시오