Niezależny przewodnik po rozporządzeniu (UE) 2024/2847 · Status: obowiązuje
Niniejsza strona stanowi tłumaczenie automatyczne (AI) i nie została sprawdzona przez człowieka.
Analiza · cykl obsługi podatności w ramach CRA

Analiza podatności i SBOM

CRA przekształca zestawienie składników oprogramowania (SBOM) w stały obowiązek: trzeba wiedzieć, co znajduje się w produkcie, monitorować te składniki pod kątem nowych podatności oraz usuwać je i zgłaszać w terminach określonych w artykule 14. Ta strona prowadzi przez cały cykl oraz przez bezpłatne narzędzie, które go obsługuje.

1

Wygeneruj SBOM

Sporządź odczytywalne maszynowo zestawienie składników oprogramowania (SBOM) obejmujące co najmniej zależności najwyższego poziomu. Jest to bezwzględny wymóg, a nie dobra praktyka.

Jak je wygenerować ↓
2

Monitoruj podatności

Stale weryfikuj krzyżowo każdy składnik z aktualnymi danymi o podatnościach (NVD, EUVD). Zbiorcze zestawienia powiadomień nie spełniają wymogu 24-godzinnego terminu.

Dlaczego zbiorcze zestawienia są niewystarczające ↓
3

Oceń, usuń i zgłoś

Udokumentuj możliwość wykorzystania, dostarcz poprawkę i zgłaszaj aktywnie wykorzystywane podatności do ENISA oraz CSIRT zgodnie z terminami 24 h / 72 h / 14 dni.

Narzędzie, które to robi ↓
Ciągła pętla przez cały okres wsparcia produktu
Silnik · realizuje kroki 2 i 3 · bezpłatnie, hostowany na i46

CRA Vulnerability Analyzer

Prześlij swój SBOM oraz listę aktywnie wykorzystywanych podatności. Analizator zestawia każdy składnik z National Vulnerability Database (NVD) oraz EU Vulnerability Database (EUVD), oznacza składniki wycofane z eksploatacji (EOL) i generuje raport zgodności, który można dołączyć do dokumentacji technicznej.

Otwórz Analizator sbom.i46.cz · otwiera się w nowej karcie
1Wygeneruj SBOM za pomocą syft (SPDX JSON) oraz listę aktywnych podatności wraz z debsecan.
2Prześlij oba pliki; przeciągnij i upuść albo wybierz z dysku.
3Składniki są weryfikowane krzyżowo z NVD oraz EUVD; status EOL jest śledzony.
4Pobierz Raport w formacie Word wraz z ocenami ryzyka i dokumentacją EOL.
Szczegóły dotyczące każdego kroku

Poradniki

Krok 1 · instrukcja

Wygeneruj zgodne zestawienie składników oprogramowania (SBOM)

Zestawienie składników oprogramowania (SBOM) jest bezwzględnym wymogiem prawnym wynikającym z załącznika I część II pkt 1. Niniejszy przewodnik obejmuje obowiązkowy zakres i format, sposób jego wygenerowania oraz to, jak zasila ono pętlę monitorowania.

1 · Podstawa prawna

Załącznik I, część II („Wymogi w zakresie obsługi podatności”), pkt (1) zobowiązuje producentów do „identyfikować i dokumentować podatności oraz składniki … w tym poprzez sporządzenie zestawienia składników oprogramowania (SBOM) w powszechnie stosowanym formacie nadającym się do odczytu maszynowego, obejmującego co najmniej zależności najwyższego poziomu produktu.”

W przeciwieństwie do niektórych przepisów CRA pozwalających na elastyczność interpretacyjną, obowiązek sporządzenia czytelnego maszynowo SBOM obejmującego co najmniej zależności najwyższego poziomu nie dopuszcza rozwiązań alternatywnych.

2 · Obowiązkowy zakres i format

Zakres uwzględnionych składników. SBOM musi dokumentować wszystkie zależności najwyższego poziomu, co stanowi minimum prawne, a nie zalecany cel. W miarę możliwości należy odwzorować zależności przechodnie (pośrednie); płytki SBOM spełnia literę prawa, lecz często jest niewystarczający do skutecznego postępowania w przypadku podatności.

Format. CRA nakazuje stosowanie „powszechnie używanego, czytelnego maszynowo formatu”. Akceptowane formaty obejmują:

  • SPDX (ISO/IEC 5962:2021): szeroko stosowany, ukierunkowany na licencje, odpowiedni do dokumentacji zgodności.
  • CycloneDX: skoncentrowany na bezpieczeństwie, dobrze dostosowany do procesów zarządzania podatnościami.
  • Inne ustrukturyzowane formaty (JSON, XML) pochodzące z uznanych narzędzi są zasadniczo akceptowalne w ramach podstawowego wymogu.
Istotny

Nie przechowuj zestawień SBOM w formacie PDF. Organy nadzoru rynku mogą zakwestionować format PDF jako nieodczytywalny maszynowo. Przechowuj natywny wynik JSON, XML lub tag-value generowany przez Twój zestaw narzędzi.

Wymagane pola metadanych

PoleOpis
Nazwa składnikaUnikalny identyfikator biblioteki, pakietu lub modułu
WersjaDokładny ciąg wersji; zakresy wersji są niewystarczające
Dostawca / pochodzenieNazwa wydawcy, dostawcy lub projektu otwartego oprogramowania
Relacje między zależnościamiBezpośrednie a przechodnie; graf zależności tam, gdzie to wykonalne
Skrót kryptograficznyKontrola integralności SHA-256 lub silniejsza dla każdego składnika
Identyfikator licencjiWyrażenie licencji SPDX (np. Apache-2.0, MIT)

3 · Generowanie SBOM

Większość nowoczesnych platform może automatycznie generować zestawienia składników oprogramowania (SBOM) na etapie kompilacji, bez dodatkowych kosztów:

  • GitHub / Actions: Dependency Graph → Export SBOM (Settings → Code security). Generuje SPDX JSON.
  • GitLab: Raporty CycloneDX są generowane natywnie przez zadanie CI/CD skanujące zależności.
  • Syft (Anchore): narzędzie CLI o otwartym kodzie źródłowym generujące SPDX i CycloneDX dla obrazów kontenerów, systemów plików i manifestów pakietów.
  • cdxgen: Zestawienia SBOM w formacie CycloneDX dla npm, Maven, pip, Go, Rust i innych.

Skanowanie podatności. Przed sfinalizowaniem dowolnego SBOM sprawdź każdy komponent w bazach znanych podatności. Zarówno skaner GitHuba, jak i Syft integrują się z Grype do tego celu. Uwzględnienie składnika ze znaną, już naprawioną podatnością stanowi bezpośrednie naruszenie załącznika I i nie pozostawia miejsca na interpretacyjną elastyczność.

Ostrzeżenie · znana podatność = naruszenie

Jeżeli istnieje wersja komponentu zawierająca poprawkę, należy jej użyć. W ramach CRA nie istnieje kategoria „ryzyko zaakceptowane” w odniesieniu do rozwiązanych podatności. Należy podjąć działania w odpowiedzi na każde ustalenie przed wprowadzeniem produktu do obrotu.

4 · Utrzymanie i przechowywanie w cyklu życia

Zestawienie składników oprogramowania (SBOM) jest żywym artefaktem, aktualizowanym w sposób ciągły przez cały okres wsparcia produktu, aby odzwierciedlać poprawione komponenty, nowe zależności, usunięte komponenty z zakończonym wsparciem oraz zmiany w łańcuchu dostaw. Wszystkie wersje dokumentacji technicznej, w tym SBOM, należy przechowywać przez co najmniej 10 lat od pierwszego wprowadzenia do obrotu…

Przeczytaj pełny przewodnik

Sekcje 4–9: cykl życia, kary, BSI TR-03183-2 oraz lista kontrolna gotowości

Pozostała część przewodnika obejmuje 10-letni obowiązek przechowywania, poufność i ujawnianie informacji w łańcuchu dostaw, integrację ze zgłaszaniem podatności na podstawie artykułu 14, częstotliwość monitorowania, bardziej rygorystyczne niemieckie przepisy BSI, kary (do €15 mln lub 2,5% obrotu) oraz gotową do użycia listę kontrolną gotowości.

Dodamy Państwa do newslettera poświęconego CRA. Rezygnacja możliwa w dowolnym momencie. Bez spamu. Prosimy zapoznać się z naszą polityką prywatności.
Kontynuuj

Powiązane narzędzia i analizy

Macierz zgodności

Każdy obowiązek w cyklu życia wraz z odniesieniem do artykułu; śledź swoje postępy i pobierz pełną listę kontrolną.

Otwórz macierz →

Aktualny stan prac

Na jakim etapie jest obecnie CRA: akty wykonawcze, normy zharmonizowane oraz droga do grudnia 2027 r.

Zapoznaj się z aktualnym stanem prac →

Kalkulator kosztów

Orientacyjny szacunek kosztów osiągnięcia i utrzymania zgodności.

Otwórz kalkulator →