Analýza zranitelností a SBOM
CRA proměňuje váš soupis materiálů softwaru v živou povinnost: vědět, co je ve vašem produktu, sledovat u těchto komponent nové zranitelnosti a opravovat je a oznamovat ve lhůtách podle článku 14. Tato stránka provází tímto cyklem i bezplatným nástrojem, který jej zajišťuje.
Vytvořte SBOM
Vytvořte strojově čitelný soupis materiálů softwaru zahrnující alespoň vaše závislosti nejvyšší úrovně. Jde o závazný požadavek, nikoli o osvědčený postup.
Jak jej vytvořit ↓Monitorujte zranitelnosti
Průběžně porovnávejte každou komponentu s aktuálními údaji o zranitelnostech (NVD, EUVD). Hromadné souhrny oznámení nesplňují lhůtu 24 hodin.
Proč souhrny nestačí ↓Posuďte, opravte a oznamte
Zdokumentujte zneužitelnost, dodejte opravu a oznamte aktivně zneužívané zranitelnosti agentuře ENISA a CSIRT v lhůtách 24 h / 72 h / 14 dní.
Nástroj, který to dělá ↓Analyzátor zranitelností CRA
Nahrajte svůj SBOM a seznam aktivních zranitelností. Analyzátor porovná každou komponentu s národní databází zranitelností (NVD) a databází zranitelností EU (EUVD), označí komponenty na konci životnosti a vytvoří zprávu o souladu, kterou můžete přiložit ke své technické dokumentaci.
Návody
Vytvořte vyhovující SBOM
Soupis materiálů softwaru (SBOM) je závazný právní požadavek podle přílohy I části II bodu 1. Tento průvodce se věnuje povinné oblasti a formátu, způsobu jeho vytvoření a tomu, jak se zapojuje do monitorovacího cyklu.
1 · Právní základ
Příloha I část II ("Požadavky na řešení zranitelností") bod 1 vyžaduje, aby výrobci "identifikovat a dokumentovat zranitelnosti a komponenty … mimo jiné vypracováním soupisu materiálů softwaru v běžně používaném a strojově čitelném formátu, který zahrnuje alespoň závislosti nejvyšší úrovně daného produktu."
Na rozdíl od některých ustanovení CRA, která umožňují výkladovou pružnost, povinnost vytvořit strojově čitelný SBOM zahrnující alespoň závislosti nejvyšší úrovně nepřipouští alternativní přístupy.
2 · Povinná oblast a formát
Pokrytí komponent. SBOM musí dokumentovat všechny závislosti nejvyšší úrovně, což je zákonné minimum, nikoli doporučený cíl. Zmapujte tranzitivní (nepřímé) závislosti, kdekoli je to proveditelné; mělký SBOM splňuje literu zákona, ale často nestačí pro účinnou správu zranitelností.
Formát. CRA vyžaduje "běžně používaný, strojově čitelný formát". Mezi přijímané formáty patří:
- SPDX (ISO/IEC 5962:2021): široce rozšířený, zaměřený na licence, vhodný pro dokumentaci souladu.
- CycloneDX: zaměřený na bezpečnost, vhodný pro pracovní postupy správy zranitelností.
- Jiné strukturované formáty (JSON, XML) z uznávaných nástrojů jsou v rámci základního požadavku obecně přijatelné.
Neukládejte SBOM jako PDF. Orgány dozoru nad trhem mohou PDF zpochybnit jako strojově nečitelné. Ukládejte nativní výstup ve formátu JSON, XML nebo tag-value ze svého nástrojového řetězce.
Povinná pole metadat
| Pole | Popis |
|---|---|
| Název komponenty | Jedinečný identifikátor knihovny, balíčku nebo modulu |
| Verze | Přesný řetězec verze; rozsahy verzí nestačí |
| Dodavatel / původ | Název vydavatele, dodavatele nebo open-source projektu |
| Vztahy mezi závislostmi | Přímé vs. tranzitivní; graf závislostí, je-li to proveditelné |
| Kryptografický hash | Kontrola integrity SHA-256 nebo silnější pro každou komponentu |
| Identifikátor licence | Licenční výraz SPDX (např. Apache-2.0, MIT) |
3 · Vytvoření SBOM
Většina moderních platforem dokáže generovat SBOM automaticky při sestavení bez dalších nákladů:
- GitHub / Actions: Dependency Graph → Export SBOM (Settings → Code security). Vytváří výstup SPDX JSON.
- GitLab: Zprávy ve formátu CycloneDX generuje nativně úloha CI/CD pro skenování závislostí.
- Syft (Anchore): open-source CLI generující SPDX a CycloneDX pro kontejnerové image, souborové systémy a manifesty balíčků.
- cdxgen: SBOM ve formátu CycloneDX pro npm, Maven, pip, Go, Rust a další.
Prověřování zranitelností. Před dokončením jakéhokoli SBOM prověřte každou komponentu oproti databázím známých zranitelností. Skener GitHubu i Syft se integrují s Grype k tomu. Zahrnutí komponenty se známou, již opravenou zranitelností je přímým porušením přílohy I a nepřipouští žádnou výkladovou pružnost.
Existuje-li opravená verze komponenty, musíte ji použít. Pro vyřešené zranitelnosti neexistuje podle CRA žádná kategorie "akceptovaného rizika". Před uvedením produktu na trh reagujte na každý nález.
4 · Údržba během životního cyklu a uchovávání
SBOM je živý dokument, který se průběžně aktualizuje po celý podporovaný životní cyklus produktu, aby odrážel opravené komponenty, nové závislosti, odstraněné komponenty na konci životnosti a změny v dodavatelském řetězci. Všechny verze technické dokumentace, včetně SBOM, musí být uchovávány alespoň 10 let od prvního uvedení na trh…
Oddíly 4–9: životní cyklus, sankce, BSI TR-03183-2 a kontrolní seznam připravenosti
Zbytek průvodce se věnuje povinnosti uchovávání po dobu 10 let, důvěrnosti a zveřejňování v dodavatelském řetězci, propojení s oznamováním zranitelností podle článku 14, četnosti monitorování, přísnějším německým pravidlům BSI, pokutám (až 15 mil. € nebo 2,5 % obratu) a kontrolnímu seznamu připravenosti připravenému k použití.
Související nástroje a analýzy
Matice souladu
Každá povinnost v rámci životního cyklu s odkazem na příslušný článek; sledujte svůj postup a stáhněte si úplný kontrolní seznam.
Aktuální stav věcí
Jak na tom CRA dnes stojí: prováděcí akty, harmonizované normy a cesta k prosinci 2027.
Kalkulačka nákladů
Orientační odhad toho, kolik bude pravděpodobně stát dosažení a udržení souladu.