Analýza zraniteľností a SBOM
CRA premieňa váš softvérový kusovník na živú povinnosť: vedieť, čo je vo vašom produkte, sledovať tieto komponenty z hľadiska nových zraniteľností a opravovať a oznamovať ich v lehotách podľa článku 14. Táto stránka vás prevedie cyklom a bezplatným nástrojom, ktorý ho prevádzkuje.
Vygenerujte SBOM
Vytvorte strojovo čitateľný softvérový kusovník pokrývajúci aspoň vaše závislosti najvyššej úrovne. Toto je tvrdá požiadavka, nie osvedčený postup.
Ako ho vygenerovať ↓Monitorujte zraniteľnosti
Priebežne krížovo porovnávajte každý komponent s aktuálnymi údajmi o zraniteľnostiach (NVD, EUVD). Dávkové súhrny oznámení nespĺňajú 24-hodinové okno.
Prečo súhrny nestačia ↓Posúďte, opravte a oznámte
Zdokumentujte zneužiteľnosť, dodajte opravu a oznamujte aktívne zneužívané zraniteľnosti ENISA a CSIRT v harmonograme 24 h / 72 h / 14 dní.
Nástroj, ktorý to robí ↓Analyzátor zraniteľností CRA
Nahrajte svoj SBOM a zoznam aktívnych zraniteľností. Analyzátor krížovo porovná každý komponent s národnou databázou zraniteľností (NVD) a databázou zraniteľností EÚ (EUVD), označí komponenty na konci životnosti a vygeneruje správu o súlade, ktorú môžete priložiť k svojej technickej dokumentácii.
Návody
Vygenerujte vyhovujúci SBOM
Softvérový kusovník je tvrdou právnou požiadavkou podľa prílohy I časti II bodu 1. Tento sprievodca pokrýva povinný rozsah a formát, ako ho vygenerovať a ako napája monitorovací cyklus.
1 · Právny základ
Príloha I časť II („Požiadavky na riešenie zraniteľností“) bod 1 vyžaduje, aby výrobcovia „identifikovať a zdokumentovať zraniteľnosti a komponenty … vrátane vypracovania softvérového kusovníka v bežne používanom a strojovo čitateľnom formáte pokrývajúceho aspoň závislosti najvyššej úrovne produktu.“
Na rozdiel od niektorých ustanovení CRA, ktoré umožňujú výkladovú flexibilitu, povinnosť vytvoriť strojovo čitateľný SBOM pokrývajúci aspoň závislosti najvyššej úrovne neumožňuje alternatívne prístupy.
2 · Povinný rozsah a formát
Pokrytie komponentov. SBOM musí dokumentovať všetky závislosti najvyššej úrovne, čo je zákonné minimum, nie odporúčaný cieľ. Tam, kde je to realizovateľné, zmapujte tranzitívne (nepriame) závislosti; plytký SBOM spĺňa literu zákona, ale často nepostačuje pre účinnú správu zraniteľností.
Formát. CRA nariaďuje „bežne používaný, strojovo čitateľný formát“. Medzi prijaté formáty patria:
- SPDX (ISO/IEC 5962:2021): široko prijatý, zameraný na licencie, vhodný pre dokumentáciu súladu.
- CycloneDX: zameraný na bezpečnosť, vhodný pre pracovné postupy správy zraniteľností.
- Iné štruktúrované formáty (JSON, XML) z uznávaných nástrojov sú v rámci základnej požiadavky vo všeobecnosti prijateľné.
Neukladajte SBOM ako PDF. Orgány dohľadu nad trhom môžu PDF napadnúť ako strojovo nečitateľné. Ukladajte natívny výstup JSON, XML alebo tag-value z vášho reťazca nástrojov.
Povinné polia metaúdajov
| Pole | Opis |
|---|---|
| Názov komponentu | Jedinečný identifikátor knižnice, balíka alebo modulu |
| Verzia | Presný reťazec verzie; rozsahy verzií nepostačujú |
| Dodávateľ / pôvod | Názov vydavateľa, dodávateľa alebo open-source projektu |
| Vzťahy medzi závislosťami | Priame oproti tranzitívnym; graf závislostí tam, kde je to realizovateľné |
| Kryptografický odtlačok (hash) | Kontrola integrity SHA-256 alebo silnejšia na každý komponent |
| Identifikátor licencie | Licenčný výraz SPDX (napr. Apache-2.0, MIT) |
3 · Generovanie vášho SBOM
Väčšina moderných platforiem dokáže generovať SBOM automaticky pri zostavovaní bez ďalších nákladov:
- GitHub / Actions: Graf závislostí → Exportovať SBOM (Nastavenia → Zabezpečenie kódu). Vytvára SPDX JSON.
- GitLab: Správy CycloneDX sa natívne generujú úlohou CI/CD na skenovanie závislostí.
- Syft (Anchore): open-source CLI nástroj generujúci SPDX a CycloneDX pre obrazy kontajnerov, súborové systémy a manifesty balíkov.
- cdxgen: SBOM vo formáte CycloneDX naprieč npm, Maven, pip, Go, Rust a ďalšími.
Preverenie zraniteľností. Pred dokončením akéhokoľvek SBOM preverte každý komponent voči databázam známych zraniteľností. Skener GitHubu aj Syft sa integrujú s Grype na to. Zahrnutie komponentu so známou, už opravenou zraniteľnosťou je priamym porušením prílohy I a nepripúšťa žiadnu výkladovú flexibilitu.
Ak existuje opravená verzia komponentu, musíte ju použiť. V rámci CRA neexistuje pri vyriešených zraniteľnostiach žiadna kategória „akceptované riziko“. Na každé zistenie reagujte pred uvedením produktu na trh.
4 · Údržba počas životného cyklu a uchovávanie
SBOM je živý artefakt, priebežne aktualizovaný počas podporovaného životného cyklu produktu, aby odrážal opravené komponenty, nové závislosti, odstránené komponenty na konci životnosti a zmeny v dodávateľskom reťazci. Všetky verzie technickej dokumentácie vrátane SBOM sa musia uchovávať aspoň 10 rokov od prvého uvedenia na trh…
Časti 4 – 9: životný cyklus, sankcie, BSI TR-03183-2 a kontrolný zoznam pripravenosti
Zvyšok sprievodcu pokrýva povinnosť uchovávania na 10 rokov, dôvernosť a zverejňovanie v dodávateľskom reťazci, integráciu s oznamovaním zraniteľností podľa článku 14, frekvenciu monitorovania, prísnejšie pravidlá nemeckého BSI, pokuty (až 15 mil. € alebo 2,5 % obratu) a kontrolný zoznam pripravenosti pripravený na použitie.
Súvisiace nástroje a analýzy
Matica súladu
Každá povinnosť počas životného cyklu s odkazom na článok; sledujte svoj pokrok a stiahnite si úplný kontrolný zoznam.
Súčasný stav vecí
Kde dnes CRA stojí: vykonávacie akty, harmonizované normy a cesta k decembru 2027.
Kalkulačka nákladov
Orientačný odhad toho, koľko bude pravdepodobne stáť dosiahnutie a udržiavanie súladu.