Welche SBOM-Formate unterstützt CRA Evidence?

CRA Evidence unterstützt CycloneDX (JSON und XML) und SPDX (JSON, Tag-Wert und RDF) Formate. SBOMs können über die Web-Oberfläche, die REST API oder das CI/CD CLI-Tool hochgeladen werden.

Wie funktioniert das Schwachstellen-Scanning?

CRA Evidence scannt Ihre SBOM-Komponenten gegen mehrere Datenbanken — NVD über Trivy und OSV.dev (deckt GitHub-, Go-, Rust-, PyPI-Hinweise ab). Jeder Fund wird mit EPSS-Exploit-Wahrscheinlichkeitsbewertungen von FIRST.org angereichert und mit dem CISA KEV-Katalog für bekanntermaßen ausgenutzte Schwachstellen abgeglichen. Produktionsversionen werden automatisch neu gescannt, wenn sich die Schwachstellendatenbanken aktualisieren. Befunde, die Sie ablehnen oder unterdrücken, generieren automatisch VEX-Entwürfe für die Stapelüberprüfung und den CycloneDX-Export.

Was ist die ENISA Artikel-14-Meldung?

Artikel 14 des Cyber Resilience Act verpflichtet Hersteller, aktiv ausgenutzte Schwachstellen innerhalb strenger Fristen an ENISA und nationale CSIRTs zu melden: 24-Stunden-Frühwarnung, 72-Stunden-Detailbericht und 14-Tage-Abschlussbericht. CRA Evidence bietet strukturierte Workflows und Berichtserstellung für diese Verpflichtungen.

Unterstützt CRA Evidence alle wirtschaftlichen CRA-Operatorrollen?

Ja. CRA Evidence bietet dedizierte Workflows für alle drei CRA-Rollen: Hersteller (vollständige Compliance-Tools), Importeure (Verifikation und Sorgfaltspflicht) und Händler (Sorgfaltsprüfungen und Dokumentation). Jede Rolle erhält einen maßgeschneiderten Arbeitsbereich mit rollenspezifischen Funktionen.

Kann CRA Evidence in CI/CD-Pipelines integriert werden?

Ja. CRA Evidence bietet ein CLI-Tool und eine REST API für die CI/CD-Integration. Sie können SBOMs hochladen, den CRA-Compliance-Status prüfen und Releases basierend auf Schwachstellen-Schwellenwerten direkt in Ihren GitHub Actions, GitLab CI oder Jenkins-Pipelines freigeben.

Funktionen | CRA Evidence

Artefakt-Verwaltung

Ihre SBOMs, validiert und versioniert

Laden Sie eine CycloneDX- oder SPDX-Datei hoch. Wir validieren sie gegen die BSI TR-03183 Qualitätskriterien, bewerten die Vollständigkeit und führen prüfungsfertige Aufzeichnungen für jede Produktversion.

CycloneDX und SPDX Das Format wird beim Upload automatisch erkannt. CycloneDX 1.6 Schema-Validierung, SPDX 2.2+ Parsing.

TR-03183 Qualitätsbewertung Gewichtete Metriken für PURL, Hashes, Lieferant, Lizenz und Versionsvollständigkeit.

HBOM- und VEX-Unterstützung Hardware Bill of Materials und Vulnerability Exploitability eXchange Extraktion aus CycloneDX.

Visualisierung des Abhängigkeitsgraphen Interaktiver Mermaid.js-Komponentenbaum mit transitiver Abhängigkeitserweiterung und Klick-Navigation.

Versionsvergleich und Drift-Erkennung SBOMs zwischen Versionen vergleichen. Neue, entfernte und geänderte Komponenten erkennen.

VEX-Erstellung Erstellen und veröffentlichen Sie Vulnerability Exploitability eXchange-Erklärungen direkt in der Anwendung. Export als CycloneDX VEX.

CycloneDX SPDX HBOM VEX SARIF

Qualitätsbewertung

Automatische Bewertung nach BSI TR-03183 Standard mit Verbesserungsempfehlungen.

Abhängigkeitsbaum

Direkte und transitive Abhängigkeiten visualisieren mit Erkennung zirkulärer Abhängigkeiten.

Versionsvergleich

Vergleichen Sie SBOMs über Versionen hinweg. Verfolgen Sie, was sich geändert hat und warum.

Lizenzprüfung

Identifizieren Sie problematische Lizenzkombinationen in Ihren Komponenten.

Schwachstellen-Scanning

Finden Sie Schwachstellen, bevor die Aufsichtsbehörden es tun

Jedes SBOM wird gegen mehrere Schwachstellendatenbanken gescannt — NVD über Trivy und OSV.dev (aggregiert Sicherheitshinweise von GitHub, Go, Rust und PyPI). Jeder Fund wird mit EPSS (Exploit Prediction Scoring System) von FIRST.org angereichert, um die reale Ausnutzungswahrscheinlichkeit in den nächsten 30 Tagen abzuschätzen — so beheben Sie, was Angreifer tatsächlich ins Visier nehmen, nicht nur was den höchsten CVSS-Score hat. Produktions- und Staging-Versionen werden automatisch neu gescannt, wenn sich die Schwachstellendatenbanken aktualisieren, und alle Funde werden mit dem CISA Known Exploited Vulnerabilities-Katalog abgeglichen.

Behebungsverfolgung Fünfstufiger Lebenszyklus pro Schwachstelle: Start, Behebung, Verifizierung, Release. Statusverfolgung pro betroffener Version.

Unterdrückungsverwaltung Falsch-Positive mit Begründung, Ablaufdaten und Freigabe-Workflows unterdrücken.

Erreichbarkeitsanalyse Markieren Sie Komponenten als erreichbar oder nicht erreichbar, um das zu priorisieren, was wirklich relevant ist.

CSAF-Advisories Vollständiger Advisory-Lebenszyklus: Import, Validierung, Veröffentlichung. Vom Entwurf bis zur Endversion mit semantischem Diff. Konform mit CRA Art. 11.

Multi-Source-Erkennung Trivy + OSV.dev Kreuzreferenz. Wenn ein Scanner ein CVE übersieht, fängt der andere es auf. Bidirektionale Deduplizierung stellt sicher, dass es keine Duplikate gibt.

Automatisierter VEX-Workflow Triage decisions auto-generate draft VEX statements — suppressions, dismissals, and remediation status changes all feed the VEX bridge. Batch review and publish with one click. Export CycloneDX 1.6-compliant VEX per version.

VEX-Abdeckungsverfolgung Wissen Sie genau, welcher Prozentsatz Ihrer bewerteten Schwachstellen veröffentlichte VEX-Erklärungen hat. Die Abdeckungsmetrik verbindet Unterdrückungsentscheidungen, Behebungsstatus und VEX-Erstellung zu einer einzigen auditfähigen Kennzahl.

Was beim Hochladen passiert

CRA Evidence Sicherheitsereignis-Dashboard mit Schwachstellen- und Vorfallverfolgung, ENISA-Meldefristen, Schweregradniveaus und produktbezogener Auswirkungsanalyse

Zum Vergrößern klicken

SARIF-Import Firmware-Analyse VEX-Unterstützung OSV.dev EPSS-Bewertung

Nur-NVD-Scanner vs. CRA Evidence

Fähigkeit	Nur NVD	CRA Evidence
Coverage	Allgemeine CVEs	NVD + GitHub + Go + Rust + PyPI
Exploit-Intelligenz	CVSS (nur Schweregrad)	EPSS (reale Wahrscheinlichkeit)
CISA KEV-Benachrichtigung		Automatic
Aktualisierungshäufigkeit	Täglich	Kontinuierlich (synchronisiert mit OSV.dev)
Ökosystem-Versionsabgleich	CPE-basiert	npm, Maven, Go, Cargo, NuGet, Gem
VEX-Unterstützung	Manueller Export (falls vorhanden)	Auto-Entwurf aus Triage → Überprüfung → Veröffentlichen

Technische Dokumentation

Technische Dokumentation, die wirklich CRA-bereit ist

Artikel 13 schreibt vor, dass technische Dokumentation 10 Jahre nach Inverkehrbringen eines Produkts aufbewahrt werden muss. Wir erstellen die Anhang VII-Pakete, Zertifikate und Compliance-Berichte, damit Sie vorbereitet sind, wenn eine Marktüberwachungsbehörde anklopft.

Technischer Datei-Export

Ein ZIP mit allem: maschinenlesbares Manifest (JSON), SBOMs (CycloneDX/SPDX), Bescheinigungen, Compliance-Checkliste und Attributionsberichte. Menschen- und maschinenlesbar, strukturiert gemäß Annex VII.

EU-Konformitätserklärung

EU-DoC-Dokumente mit korrekter Formatierung, Versionierung und CE-Kennzeichnung-Verfolgung erstellen.

Compliance-Berichte

PDF oder HTML. Schwachstellenübersicht, Komponenteninventar, Qualitätsbewertungen und Behebungsstatus in einem Bericht, den Sie Prüfern vorlegen können.

Sicherheitsdatenblatt

Annex II Sicherheitsdatenblatt-Assistent. Entwerfen, validieren, veröffentlichen. Export als PDF, Markdown oder HTML.

Zertifikate

Zertifikats-Lebenszyklus: Entwurf, Ausstellung, Widerruf. Unveränderliche ausgestellte Zertifikate mit herunterladbarer PDF-Erstellung.

Mehrsprachige Dokumente

Dokumente in 6 Sprachen erstellen: Englisch, Spanisch, Deutsch, Französisch, Italienisch, Polnisch.

Annex I Bereitschaft

Bewerten Sie Ihr Produkt anhand aller 20 wesentlichen Cybersicherheitsanforderungen aus CRA Annex I Teil I. Verfolgen Sie, was erfüllt ist und was fehlt.

Artefakt-Signierung

Sigstore-basierte Signierung für SBOMs und Artefakte. Schlüssellose und schlüsselbasierte Modi mit Signaturverifizierung für die Integrität der Lieferkette.

Supportzeitraum-Verfolgung

Definieren und verfolgen Sie den vorgeschriebenen Mindestsupportzeitraum von 5 Jahren gemäß CRA Art. 13(5). Benachrichtigungen, wenn Produkte das Supportende erreichen.

ENISA-Meldungen

Jede ENISA-Meldefrist einhalten

CRA Artikel 14 erfordert die Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Vorfälle an ENISA. Zwei separate Meldeströme mit unterschiedlichen Fristen. CRA Evidence verwaltet beide mit strukturierten Vorlagen und Countdown-Verfolgung.

24h

Frühwarnung

Erste Schwachstellenmeldung innerhalb von 24 Stunden nach Entdeckung. CVE-ID, betroffene Produkte und Bewertung der Angriffskomplexität.

72h

Detaillierte Meldung

Technische Analyse mit Behebungszeitplan, Workarounds und erweiterter Auswirkungsbewertung innerhalb von 72 Stunden.

14d

Abschlussbericht

Bestätigung der Behebung mit Details zur dauerhaften Lösung, Bereitstellungszeitplan und gewonnenen Erkenntnissen. 14 Tage für Schwachstellen, 30 Tage für Vorfälle.

Fristenerinnerungen Automatische Benachrichtigungen vor Ablauf jeder Verpflichtung

ENISA SRP bereit Strukturierte Payloads für die ENISA Single Reporting Platform. Day-one-Integration sobald die API gestartet wird.

Einreichungshistorie Vollständiger Audit-Trail aller generierten Meldungen und Statusverfolgung

Vorfallmanagement Separater Workflow für schwerwiegende Vorfälle (Art. 14(3)). 30-Tage-Abschlussbericht gegenüber 14 Tagen für Schwachstellen.

PDF-Berichte & Fristenüberschreitungswarnungen Frühwarnung, Detailbericht und Abschlussbericht als PDF. Dashboard-Countdown bei nahenden Fristen.

CSIRT-Koordination Gleichzeitige Meldung an ENISA und Ihr nationales CSIRT gemäß Artikel 14.

Für jede CRA-Rolle entwickelt

Hersteller-, Importeur- & Händler-Dashboards

Der CRA legt Herstellern (Art. 13), Importeuren (Art. 19) und Händlern (Art. 20) unterschiedliche Pflichten auf. Jede Rolle erhält ihren eigenen Arbeitsbereich mit den Workflows, die für sie tatsächlich relevant sind.

Produkt- & Versionsverwaltung

Produkte nach CRA-Kategorie organisiert: Standard, Wichtige Klasse I/Klasse II, Kritisch. Jede Version verfolgt ihren Veröffentlichungsstatus, ihre Umgebung und ihre Aufbewahrungsstufe.

Vollständige Artefakt-Pipeline

SBOM, HBOM und VEX pro Version hochladen. Qualitätsbewertung und Schwachstellen-Scanning starten automatisch.

Schwachstellen- & Vorfallmanagement

CVE-Verfolgung, Behebungs-Workflows, ENISA-Meldungen. Das Sicherheits-Dashboard ordnet alles nach EPSS-Score und markiert CISA KEV Einträge.

Erstellung technischer Unterlagen

Der Annex VII-Export bündelt alles in einem ZIP: maschinenlesbare SBOMs, Compliance-Checklisten, Attributionsberichte und Konformitätserklärungen. Bereit für automatisierte Marktüberwachungsprüfungen.

Kundenbenachrichtigungen

Schwachstellenbenachrichtigungssystem für nachgelagerte Kunden. Mehrsprachige Vorlagen mit Verteilerlistenverwaltung.

Vertrauenssiegel

Einbettbare Compliance-Vertrauenssiegel für Ihre Produktseiten. Verlinken Sie auf die öffentliche Verifizierung Ihres CRA-Compliance-Status.

Verfolgung der Konformitätsbewertung

Verfolgen Sie Ihren Bewertungsweg basierend auf der Produktkategorie: Selbstbewertung (Standard), interne Kontrolle (Wichtige Klasse I) oder Drittpartei (Wichtige Klasse II, Kritisch).

Art. 19 Verifizierungs-Workflow

Schritt-für-Schritt-Checkliste für die Anforderungen von Art. 19: CE-Kennzeichnungsprüfung, Annex II Prüfung, Importeur-Kennung auf dem Produkt, EU-Konformitätserklärung gesammelt, endgültige Freigabe.

Herstellerverzeichnis

Behalten Sie den Überblick über Ihre Hersteller: Kontakte, EU-Bevollmächtigte, CVD/CSAF-Metadaten. Legen Sie fest, wie oft jeder erneut verifiziert werden muss.

Auslieferungsstopp-Entscheidungen

Problem gefunden? Produkt sperren. Begründung erfassen, Beteiligte benachrichtigen und an die Behörde melden. Alles wird dokumentiert.

Auslöser für erneute Verifizierung

Neue Schwachstelle gefunden? Größeres Update veröffentlicht? Überprüfungsdatum steht an? Sie erhalten eine Benachrichtigung zur erneuten Verifizierung.

Verifizierungen klonen

Eine neue Version desselben Produkts prüfen? Klonen Sie die vorherige Verifizierung. Checklistenstatus und Herstellerdaten werden übernommen.

Verifizierungs-Dashboard

Sehen Sie auf einen Blick, wo alles steht: wie viele Produkte verifiziert, ausstehend, gesperrt oder zur erneuten Verifizierung fällig sind.

Art. 20 Sorgfaltspflicht-Checkliste

Alles, was Art. 20 verlangt, in einer Checkliste: Produkt-ID und Rückverfolgbarkeit, CE-Kennzeichnung, EU-Erklärung, Herstellerkontakte, Anomalieerkennung.

CE-Nachweis-Upload

Laden Sie Ihre CE-Kennzeichnungsnachweise hoch: Fotos, Scans, Zertifikate. Dateityp- und Größenprüfungen sind integriert und alles wird im Audit-Log erfasst.

Verifizierungszertifikate

PDF-Zertifikate erstellen, die die Einhaltung der Sorgfaltspflicht belegen. Enthält Händlerangaben, Umfang, Datum und eindeutige Verifizierungsnummer.

Auslieferungsstopp-Maßnahmen

Etwas stimmt nicht? Vertrieb stoppen. Die Begründung wird erfasst und Behörden sowie Hersteller werden benachrichtigt.

Portfolio-Ansicht

Alle Verifizierungen auf einen Blick. Filtern Sie nach Status, Produkt oder Abschlussdatum, um zu sehen, was Aufmerksamkeit erfordert.

Compliance-Fortschritt

Visuelle Fortschrittsbalken pro Produkt. Sehen Sie auf einen Blick, wie weit jede Verifizierung fortgeschritten ist und was noch fehlt.

CI/CD & Automatisierung

Passt in Ihre Build-Pipeline

Es gibt ein CLI und eine REST API. Laden Sie SBOMs hoch, starten Sie Scans und steuern Sie Releases aus CI. Funktioniert mit GitHub Actions, GitLab CI oder jedem Tool, das Shell-Befehle ausführen kann.

CLI-Tool SBOM/HBOM/VEX hochladen, scannen, Status prüfen, Releases verwalten und Versionen vom Terminal aus vergleichen.

Schweregrad-Fehlerschwellenwerte CI-Builds bei kritischen oder hohen Schwachstellen fehlschlagen lassen. Pro Pipeline konfigurierbar.

Bereichsbezogene API-Schlüssel Feingranulare Berechtigungen: sbom:read, sbom:write, vuln:read, vuln:write und mehr. Ratenlimitiert und auditiert.

Webhooks Empfangen Sie Ereignisse für Schwachstellenentdeckungen, ENISA-Fristenwarnungen und andere Compliance-Ereignisse.

Richtlinien-Engine Policy-as-Code-Regeln für Lizenzen, Schwachstellen-Schwellenwerte, Qualitätsbewertungen und blockierte Komponenten. Geltungsbereich von global bis pro Version.

Release-Freigabestufen Konfigurierbare Freigabe-Workflows vor Versionsveröffentlichungen. Manuelle Freigabestufen und automatische Bedingungsprüfungen.

# Docker-Image scannen und SBOM hochladen
$ docker run --rm \
-e CRA_EVIDENCE_API_KEY="cra_xxx" \
-v /var/run/docker.sock:/var/run/docker.sock \
craevidence/cli:latest \
upload-sbom \
--product my-app \
--version 2.1.0 \
--image my-app:2.1.0 \
--scan --fail-on high

Upload successful!

Product       my-app (created new)
Version       2.1.0 (created new)
Components    142
Quality Score 87%

Vulnerabilities
  Critical    0
  High        0
  Medium      3
  Low         1

GitHub Actions GitLab CI Jenkins Jedes CI-System

Vollständige CI/CD-Integrationsanleitung ansehen

Integrationen

Funktioniert mit Ihren vorhandenen Tools

Jira

Erstellen Sie Issues für Schwachstellen direkt

Slack

Echtzeit-Benachrichtigungen zu Schwachstellen und Fristen

GitHub

Synchronisierung von Sicherheitshinweisen und Repository-Integration

Dependency-Track

SBOMs aus bestehenden Instanzen importieren

Microsoft Teams

Benachrichtigungen in Ihren Teams-Kanälen

ENISA-Fristen

Automatische Erinnerungen nach 24 Std., 72 Std., 14/30 Tagen

Lieferantenportal

Kundenorientierte SBOM-Freigabe mit Zugriffskontrolle

Generischer Webhook

Ereignisse an jeden HTTP-Endpunkt senden

Sicherheit & Vertrauen

Entwickelt, um das Vertrauen für Ihre Compliance-Daten zu verdienen

Zugriffskontrolle

Rollenbasierter Zugriff

Owner-, Admin-, Member- und Viewer-Rollen. Bereichsbezogene API-Schlüssel mit feingranularen Berechtigungen.

SSO & MFA

SAML 2.0, Google & Microsoft OAuth, SCIM-Provisionierung. TOTP-Mehrfaktorauthentifizierung.

Datenschutz

Verschlüsselung

AES-256 im Ruhezustand, TLS 1.3 bei der Übertragung. Argon2id-Passwort-Hashing.

Mandantenfähigkeit

Vollständige Mandantentrennung. Jede Abfrage erzwingt Organisationsgrenzen.

Beobachtbarkeit

Audit-Protokollierung

Vollständige Rückverfolgbarkeit aller Aktionen. Abfragbarer Audit-Trail mit CSV-Export.

Ratenbegrenzung

Gleitendes Fenster Rate Limiting für Login-, API- und Upload-Endpunkte.

Compliance

Inhaltssicherheit

Strikte CSP-Header, CSRF-Schutz, HTML-Sanitisierung und HSTS.

10 Jahre Aufbewahrung

Produktionsdaten werden gemäß CRA Art. 13 10 Jahre aufbewahrt. Stufenbasierte Aufbewahrung.

Kostenlose Tools

Nicht sicher, ob der CRA für Sie gilt?

Klären Sie Ihre Pflichten, bevor Sie sich anmelden. Diese Tools sind kostenlos und erfordern kein Konto.

CRA-Anwendbarkeitsprüfer 11-Fragen-Assistent zur Bestimmung, ob der Cyber Resilience Act auf Ihr Produkt zutrifft. Deckt Branchenausnahmen, Konnektivitätsanforderungen und Produktklassifizierung ab.

CRA-Rollen-Quiz Finden Sie heraus, ob Sie nach dem CRA Hersteller, Importeur oder Händler sind. Verschiedene Rollen haben unterschiedliche Pflichten.

Teilbare Ergebnisse Teilen Sie Ihre Bewertungsergebnisse mit Kollegen oder Rechtsabteilungen über eine eindeutige URL. Verfügbar in allen 6 Sprachen.

CRA-Anwendbarkeitsprüfung ausprobieren Kostenloses CRA-Quiz ausprobieren

Keine Registrierung erforderlich. Dauert etwa 2 Minuten.

CRA-Compliance-Plattform für Hersteller, Importeure und Händler.