Gwida indipendenti dwar ir-Regolament (UE) 2024/2847 · Status: fis-seħħ
Din il-paġna hija traduzzjoni awtomatika (IA) u ma ġietx riveduta minn persuna.
Analiżi · iċ-ċiklu tal-ġestjoni tal-vulnerabbiltajiet tal-CRA

Analiżi tal-vulnerabbiltajiet u SBOM

Il-CRA jibdel id-distinta tal-materjali tas-software tiegħek f'obbligu ħaj: kun af x'hemm fil-prodott tiegħek, sorvelja dawk il-komponenti għal vulnerabbiltajiet ġodda, u rranġahom u rrappurtahom fl-iskadenzi tal-Artikolu 14. Din il-paġna timxi maċ-ċiklu, u l-għodda bla ħlas li tħaddmu.

1

Iġġenera SBOM

Ipproduċi distinta tal-materjali tas-software li tinqara mill-magni li tkopri tal-anqas id-dipendenzi tal-ogħla livell tiegħek. Dan huwa rekwiżit ferm, mhux l-aħjar prattika.

Kif tiġġeneraha ↓
2

Immonitorja għall-vulnerabbiltajiet

Ikkonfronta kontinwament kull komponent ma' data ta' vulnerabbiltajiet attivi (NVD, EUVD). Id-diġesti tan-notifiki f'lottijiet ma jissodisfawx il-perjodu ta' 24 siegħa.

Għaliex id-diġesti ma jaslux ↓
3

Ivvaluta, irranġa u rrapporta

Iddokumenta l-isfruttabbiltà, ikkonsenja rimedju, u rrapporta l-vulnerabbiltajiet sfruttati b'mod attiv lill-ENISA u lis-CSIRT fuq l-iskeda taż-żmien ta' 24s / 72s / 14-il jum.

L-għodda li tagħmel dan ↓
Ċiklu kontinwu matul il-perjodu ta' appoġġ tal-prodott
Il-magna · tħaddem il-passi 2 u 3 · bla ħlas, ospitata fuq i46

Analizzatur tal-Vulnerabbiltajiet CRA

Tella' s-SBOM u l-lista ta' vulnerabbiltajiet attivi tiegħek. L-Analizzatur jikkonfronta kull komponent mal-Bażi tad-Data Nazzjonali tal-Vulnerabbiltajiet (NVD) u l-Bażi tad-Data tal-Vulnerabbiltajiet tal-UE (EUVD), jimmarka l-komponenti li jilħqu t-Tmiem tal-Ħajja, u jiġġenera rapport ta' konformità li tista' tehmeż mal-fajl tekniku tiegħek.

Iftaħ l-Analizzatur sbom.i46.cz · jinfetaħ f'tab ġdid
1Iġġenera SBOM bi syft (SPDX JSON) u lista ta' vulnerabbiltajiet attivi bi debsecan.
2Tella' ż-żewġ fajls; iġbed u itfa' jew ibbrawżja.
3Il-komponenti jiġu kkonfrontati ma' NVD u EUVD; l-istatus EOL jiġi rintraċċat.
4Niżżel Rapport Word b'valutazzjonijiet tar-riskju u dokumentazzjoni tal-EOL.
Id-dettall wara kull pass

Gwidi prattiċi

Pass 1 · kif issir

Iġġenera SBOM konformi

Distinta tal-materjali tas-software hija rekwiżit legali ferm taħt l-Anness I, Parti II, Punt (1). Din il-gwida tkopri l-kamp ta' applikazzjoni u l-format obbligatorji, kif tiġġenera waħda, u kif tgħin fiċ-ċiklu tal-monitoraġġ.

1 · Bażi ġuridika

L-Anness I, Parti II ("Rekwiżiti tal-Ġestjoni tal-Vulnerabbiltajiet"), Punt (1) jeħtieġ li l-manifatturi "jiġu identifikati u dokumentati l-vulnerabbiltajiet u l-komponenti … inkluż billi tfassal distinta tal-materjali tas-software f'format użat komunement u li jinqara mill-magni li tkopri tal-anqas id-dipendenzi tal-ogħla livell tal-prodott."

B'differenza minn xi dispożizzjonijiet tal-CRA li jippermettu flessibbiltà interpretattiva, l-obbligu li tipproduċi SBOM li jinqara mill-magni li jkopri tal-anqas id-dipendenzi tal-ogħla livell ma jippermettix approċċi alternattivi.

2 · Kamp ta' applikazzjoni u format obbligatorji

Kopertura tal-komponenti. Is-SBOM irid jiddokumenta d-dipendenzi kollha tal-ogħla livell, il-minimu legali aktar milli l-mira rakkomandata. Immappja d-dipendenzi tranżittivi (indiretti) kull fejn ikun fattibbli; SBOM superfiċjali jissodisfa l-ittra tal-liġi iżda spiss huwa insuffiċjenti għall-ġestjoni effettiva tal-vulnerabbiltajiet.

Format. Il-CRA jimponi "format użat komunement u li jinqara mill-magni". Il-formati aċċettati jinkludu:

  • SPDX (ISO/IEC 5962:2021): adottat b'mod wiesa', iffokat fuq il-liċenzji, adatt għad-dokumentazzjoni tal-konformità.
  • CycloneDX: iffokat fuq is-sigurtà, adatt sew għall-flussi tax-xogħol tal-ġestjoni tal-vulnerabbiltajiet.
  • Formati strutturati oħra (JSON, XML) minn għodod rikonoxxuti huma ġeneralment aċċettabbli taħt ir-rekwiżit bażiku.
Importanti

Taħżinx is-SBOMs bħala PDF. Il-PDF jista' jiġi kkontestat bħala mhux li jinqara mill-magni mill-awtoritajiet tas-sorveljanza tas-suq. Aħżen il-JSON, XML jew tag-value nattiv li joħroġ mill-għodod tiegħek.

Oqsma ta' metadata meħtieġa

QasamDeskrizzjoni
Isem tal-komponentIdentifikatur uniku għal-librerija, il-pakkett jew il-modulu
VerżjoniString eżatt tal-verżjoni; il-meded tal-verżjonijiet mhumiex suffiċjenti
Fornitur / oriġiniIsem tal-pubblikatur, il-bejjiegħ jew il-proġett b'sors miftuħ
Relazzjonijiet bejn id-dipendenziDiretta vs. tranżittiva; graff tad-dipendenzi fejn ikun fattibbli
Hash kriptografikuVerifika tal-integrità SHA-256 jew aktar b'saħħitha għal kull komponent
Identifikatur tal-liċenzjaEspressjoni tal-liċenzja SPDX (e.g. Apache-2.0, MIT)

3 · Iġġenera s-SBOM tiegħek

Il-biċċa l-kbira tal-pjattaformi moderni jistgħu jiġġeneraw SBOMs awtomatikament fil-ħin tal-build mingħajr spiża addizzjonali:

  • GitHub / Actions: Dependency Graph → Export SBOM (Settings → Code security). Joħroġ SPDX JSON.
  • GitLab: Ir-rapporti CycloneDX jiġu ġġenerati b'mod nattiv mix-xogħol CI/CD tal-iskennjar tad-dipendenzi.
  • Syft (Anchore): CLI b'sors miftuħ li jipproduċi SPDX u CycloneDX għal immaġnijiet ta' kontejners, sistemi tal-fajls u manifesti ta' pakketti.
  • cdxgen: SBOMs CycloneDX f'npm, Maven, pip, Go, Rust u aktar.

Skrinjar tal-vulnerabbiltajiet. Qabel ma tiffinalizza kwalunkwe SBOM, iskrinja kull komponent kontra l-bażijiet tad-data tal-vulnerabbiltajiet magħrufa. Kemm l-iskaner ta' GitHub kif ukoll Syft jintegraw ma' Grype għal dan. L-inklużjoni ta' komponent b'vulnerabbiltà magħrufa u diġà rranġata hija ksur dirett tal-Anness I u ma jġorr l-ebda flessibbiltà interpretattiva.

Twissija · vulnerabbiltà magħrufa = ksur

Jekk teżisti verżjoni rranġata ta' komponent, trid tużaha. Ma hemm l-ebda kategorija "riskju aċċettat" taħt il-CRA għal vulnerabbiltajiet riżolti. Aġixxi fuq kull sejba qabel ma tqiegħed il-prodott fis-suq.

4 · Manutenzjoni u żamma matul iċ-ċiklu tal-ħajja

SBOM huwa artefatt ħaj, aġġornat b'mod kontinwu matul iċ-ċiklu tal-ħajja appoġġat tal-prodott biex jirrifletti komponenti rranġati, dipendenzi ġodda, komponenti li ntemmet il-ħajja tagħhom u li tneħħew, u bidliet fil-katina tal-provvista. Il-verżjonijiet kollha tad-dokumentazzjoni teknika, inklużi s-SBOMs, iridu jinżammu għal tal-anqas 10 snin mill-ewwel tqegħid fis-suq…

Aqra l-gwida sħiħa

Taqsimiet 4–9: ċiklu tal-ħajja, penali, BSI TR-03183-2 u l-lista ta' kontroll tat-tħejjija

Il-bqija tal-gwida tkopri d-dmir ta' żamma ta' 10 snin, il-kunfidenzjalità u l-iżvelar fil-katina tal-provvista, l-integrazzjoni mar-rappurtar tal-vulnerabbiltajiet tal-Artikolu 14, il-frekwenza tal-monitoraġġ, ir-regoli aktar stretti tal-BSI tal-Ġermanja, il-multi (sa €15M jew 2.5% tal-fatturat), u lista ta' kontroll tat-tħejjija lesta għall-użu.

Inżiduk man-newsletter CRA. Ħassar l-abbonament fi kwalunkwe ħin. Mingħajr spam. Ara l- politika tal-privatezza.
Kompli

Għodod u analiżi relatati

Matriċi tal-konformità

Kull obbligu taċ-ċiklu tal-ħajja bir-referenza tal-artikolu tiegħu; segwi l-progress tiegħek u niżżel il-lista ta' kontroll sħiħa.

Iftaħ il-matriċi →

Sitwazzjoni attwali

Fejn jinsab il-CRA illum: atti ta' implimentazzjoni, standards armonizzati u t-triq lejn Diċembru 2027.

Aqra s-sitwazzjoni attwali →

Kalkulatur tal-ispiża

Stima indikattiva ta' kemm probabbilment tiswa biex tintlaħaq u tinżamm il-konformità.

Iftaħ il-kalkulatur →