Onafhankelijke gids bij Verordening (EU) 2024/2847 · Status: van kracht
Deze pagina is een automatische (AI-)vertaling en is niet door een persoon gecontroleerd.
Analyse · de CRA-cyclus voor kwetsbaarhedenbehandeling

Kwetsbaarheidsanalyse en softwarestuklijst (SBOM)

De CRA maakt van uw softwarestuklijst (SBOM) een doorlopende verplichting: weet wat er in uw product zit, houd die componenten in de gaten op nieuwe kwetsbaarheden en verhelp en meld ze binnen de uiterste data van artikel 14. Deze pagina doorloopt de cyclus en de gratis tool die deze uitvoert.

1

Genereer een SBOM

Stel een machineleesbare softwarestuklijst (SBOM) op die ten minste uw afhankelijkheden op het hoogste niveau omvat. Dit is een harde eis, geen best practice.

Hoe deze te genereren ↓
2

Monitoren op kwetsbaarheden

Vergelijk elke component continu met actuele kwetsbaarheidsgegevens (NVD, EUVD). Gebundelde meldingsoverzichten voldoen niet aan het venster van 24 uur.

Waarom samenvattingen tekortschieten ↓
3

Beoordeel, verhelp en rapporteer

Documenteer de misbruikbaarheid, lever een oplossing en meld actief misbruikte kwetsbaarheden aan ENISA en het CSIRT volgens het tijdschema van 24 uur / 72 uur / 14 dagen.

De tool die dit doet ↓
Een doorlopende cyclus gedurende de ondersteuningsperiode van het product
De motor · voert stap 2 en 3 uit · gratis, gehost op i46

CRA-kwetsbaarheidsanalyse

Upload uw SBOM en lijst met actieve kwetsbaarheden. De Analyzer toetst elk component aan de National Vulnerability Database (NVD) en de EU Vulnerability Database (EUVD), signaleert End-of-Life-componenten en genereert een conformiteitsrapport dat u aan uw technisch dossier kunt toevoegen.

Open de Analyzer sbom.i46.cz · opent in een nieuw tabblad
1Genereer een SBOM met syft (SPDX JSON) en een lijst van actieve kwetsbaarheden met debsecan.
2Upload beide bestanden; sleep ze hierheen of blader ernaartoe.
3Componenten worden vergeleken met NVD en EUVD; de EOL-status wordt bijgehouden.
4Download een Word-rapport met risicobeoordelingen en EOL-documentatie.
De details achter elke stap

Stapsgewijze handleidingen

Stap 1 · handleiding

Genereer een conforme SBOM

Een softwareproductielijst (SBOM) is een dwingende wettelijke eis op grond van bijlage I, deel II, punt 1. Deze gids behandelt het verplichte toepassingsgebied en formaat, hoe u er een opstelt en hoe deze de monitoringcyclus voedt.

1 · Rechtsgrondslag

Bijlage I, Deel II ("Eisen inzake kwetsbaarhedenbehandeling"), Punt (1) verplicht fabrikanten om "kwetsbaarheden en componenten identificeren en documenteren … onder meer door het opstellen van een softwareproductielijst (SBOM) in een gangbaar en machineleesbaar formaat dat ten minste de componenten op het hoogste niveau van het product omvat."

In tegenstelling tot sommige CRA-bepalingen die interpretatieve flexibiliteit toelaten, biedt de verplichting om een machineleesbare SBOM op te stellen die ten minste de afhankelijkheden op het hoogste niveau omvat geen ruimte voor alternatieve benaderingen.

2 · Verplicht toepassingsgebied en formaat

Dekking van componenten. De SBOM moet alle afhankelijkheden op het hoogste niveau documenteren; dat is de wettelijke ondergrens, niet het aanbevolen streefdoel. Breng waar haalbaar de transitieve (indirecte) afhankelijkheden in kaart; een oppervlakkige SBOM voldoet aan de letter van de wet, maar is vaak ontoereikend voor doeltreffende kwetsbaarhedenbehandeling.

Formaat. De CRA schrijft een "gangbaar, machineleesbaar formaat" voor. Aanvaarde formaten zijn onder meer:

  • SPDX (ISO/IEC 5962:2021): breed toegepast, gericht op licenties, geschikt voor nalevingsdocumentatie.
  • CycloneDX: beveiligingsgericht, goed geschikt voor workflows voor kwetsbaarhedenbeheer.
  • Andere gestructureerde formaten (JSON, XML) afkomstig van erkende tooling zijn over het algemeen aanvaardbaar onder de basisvereiste.
Belangrijk

Bewaar SBOM's niet als PDF. PDF kan door markttoezichtautoriteiten worden aangevochten als niet machineleesbaar. Bewaar de oorspronkelijke JSON-, XML- of tag-value-uitvoer van uw toolchain.

Vereiste metagegevensvelden

VeldOmschrijving
Naam van de componentUnieke identificator voor de bibliotheek, het pakket of de module
VersieExacte versiereeks; versiebereiken zijn onvoldoende
Leverancier / herkomstNaam van uitgever, leverancier of opensourceproject
AfhankelijkheidsrelatiesDirect versus transitief; afhankelijkheidsgrafiek waar haalbaar
Cryptografische hashSHA-256 of sterkere integriteitscontrole per component
Licentie-identificatieSPDX-licentie-expressie (bijv. Apache-2.0, MIT)

3 · Uw SBOM genereren

De meeste moderne platforms kunnen tijdens de build automatisch SBOM's genereren zonder extra kosten:

  • GitHub / Actions: Dependency Graph → Export SBOM (Settings → Code security). Levert SPDX JSON op.
  • GitLab: CycloneDX-rapporten worden standaard gegenereerd door de CI/CD-taak voor afhankelijkheidsscanning.
  • Syft (Anchore): opensource-CLI die SPDX en CycloneDX genereert voor containerimages, bestandssystemen en package-manifesten.
  • cdxgen: CycloneDX-SBOM's voor npm, Maven, pip, Go, Rust en meer.

Kwetsbaarheidsonderzoek. Screen voordat u een SBOM afrondt elk onderdeel aan de hand van databases met bekende kwetsbaarheden. Zowel de scanner van GitHub als Syft integreren met Grype hiervoor. Het opnemen van een onderdeel met een bekende, reeds verholpen kwetsbaarheid is een rechtstreekse overtreding van bijlage I en biedt geen interpretatieve speelruimte.

Waarschuwing · bekende kwetsbaarheid = overtreding

Als er een gepatchte versie van een component bestaat, moet u deze gebruiken. Onder de CRA bestaat er geen categorie 'risico aanvaard' voor opgeloste kwetsbaarheden. Onderneem actie op elke bevinding voordat u het product in de handel brengt.

4 · Onderhoud en bewaring gedurende de levenscyclus

Een SBOM is een levend document dat gedurende de ondersteunde levenscyclus van het product voortdurend wordt bijgewerkt om gepatchte componenten, nieuwe afhankelijkheden, verwijderde end-of-life-componenten en wijzigingen in de toeleveringsketen weer te geven. Alle versies van de technische documentatie, met inbegrip van SBOM's, moeten ten minste 10 jaar vanaf het eerste in de handel brengen worden bewaard…

Lees de volledige gids

Secties 4-9: levenscyclus, sancties, BSI TR-03183-2 en de checklist voor gereedheid

De rest van de gids behandelt de bewaarplicht van 10 jaar, vertrouwelijkheid en openbaarmaking in de toeleveringsketen, de integratie met de kwetsbaarheidsmelding van artikel 14, de monitoringsfrequentie, de striktere BSI-regels van Duitsland, de boetes (tot € 15 miljoen of 2,5% van de omzet), en een direct bruikbare gereedheidschecklist.

Wij voegen u toe aan de CRA-nieuwsbrief. U kunt zich op elk moment uitschrijven. Geen spam. Zie onze privacybeleid.
Ga verder

Gerelateerde tools en analyses

Nalevingsmatrix

Elke verplichting in de levenscyclus met de bijbehorende verwijzing naar het artikel; volg uw voortgang en download de volledige checklist.

Open de matrix →

Huidige stand van zaken

Waar de CRA vandaag staat: uitvoeringshandelingen, geharmoniseerde normen en de weg naar december 2027.

Lees de stand van zaken →

Kostencalculator

Een indicatieve raming van wat het bereiken en handhaven van naleving waarschijnlijk zal kosten.

Open de calculator →