CRA Allemagne SBOM

BSI TR-03183 Allemand : Comment il Étend les Exigences SBOM du CRA

Comprendre l'exigence technique allemande BSI pour la qualité des SBOM. Un guide pour les fabricants ciblant le marché allemand avec des produits conformes au CRA.

Équipe CRA Evidence
Auteur
8 janvier 2026
Mis à jour 25 février 2026, 00:00:00 TU
11 min de lecture
BSI TR-03183 Allemand : Comment il Étend les Exigences SBOM du CRA
In this article

Le BSI allemand a publié le TR-03183, une exigence technique qui va au-delà des attentes de base du CRA en matière de SBOM. Si vous vendez des produits comportant des éléments numériques en Allemagne, comprendre le TR-03183 vous aide à répondre à la fois au CRA et aux attentes élevées du marché allemand.

Ce guide explique ce que requiert le TR-03183 et son rapport avec la conformité CRA.

Résumé

  • Le BSI TR-03183 est une exigence technique allemande pour la qualité des SBOM et la gestion des vulnérabilités
  • Il opérationnalise les exigences du CRA avec des orientations techniques spécifiques
  • Trois parties : Partie 1 (général), Partie 2 (SBOM), Partie 3 (rapports de vulnérabilités)
  • Plus prescriptif que le CRA seul, spécifie les formats, champs et processus
  • La conformité au TR-03183 démontre une forte conformité au CRA

Qu'est-ce que le TR-03183 ?

Le BSI TR-03183 "Exigences de Cyber Résilience pour les Fabricants et les Produits" est une exigence technique publiée par l'Office Fédéral Allemand pour la Sécurité de l'Information (Bundesamt für Sicherheit in der Informationstechnik).

Statut : Exigence technique, pas une loi. Mais :

  • Référencé par les exigences de marchés publics allemands
  • Attendu par les clients allemands
  • Démontre les meilleures pratiques pour la conformité CRA
  • Peut influencer les futures normes harmonisées CRA

Structure du TR-03183

STRUCTURE TR-03183

Partie 1 : Exigences Générales
├── Portée et applicabilité
├── Relation avec le CRA
├── Exigences de sécurité produit
└── Critères de conformité

Partie 2 : Software Bill of Materials (SBOM)
├── Exigences de génération SBOM
├── Champs et métadonnées requis
├── Spécifications de format (CycloneDX, SPDX)
├── Exigences de livraison et mise à jour
└── Critères de qualité

Partie 3 : Rapports de Vulnérabilités et Avis
├── Exigences de divulgation des vulnérabilités
├── Format de rapport (CSAF)
├── Publication des avis
├── VEX (Vulnerability Exploitability eXchange)
└── Exigences de coordination

TR-03183 vs CRA : Différences Clés

Exigences SBOM

Aspect Exigence CRA Spécification TR-03183
Format "Lisible par machine" CycloneDX 1.4+ ou SPDX 2.3+
Portée "Dépendances de premier niveau" (minimum) Arbre de dépendances complet requis
Champs Non spécifié Exigences de champs détaillées
Livraison "Sur demande" Mécanismes de livraison proactifs
Mises à jour Quand le produit change Dans un délai défini

Gestion des Vulnérabilités

Aspect Exigence CRA Spécification TR-03183
Format Non spécifié CSAF 2.0 pour les avis
VEX Non explicitement requis Documents VEX attendus
Délai "Sans délai" Délais spécifiques
Coordination CVD requis Processus de coordination détaillé

TR-03183 Partie 2 : SBOM en Profondeur

Formats SBOM Requis

Le TR-03183 accepte :

  • CycloneDX 1.4 ou ultérieur (préféré)
  • SPDX 2.3 ou ultérieur

Les autres formats (SWID, personnalisés) ne sont pas conformes.

Champs Requis

Le TR-03183 spécifie les champs minimum requis :

CHAMPS SBOM REQUIS (TR-03183)

MÉTADONNÉES DU DOCUMENT :
├── Format et version SBOM
├── Nom/identifiant du document
├── Horodatage de création
├── Information sur l'outil créateur
├── Namespace du document (SPDX) / serialNumber (CycloneDX)
└── Version de la spécification

COMPOSANT PRINCIPAL (le produit) :
├── Nom
├── Version
├── Fournisseur/fabricant
├── Identifiant unique (purl, CPE)
└── Description

CHAQUE COMPOSANT :
├── Nom
├── Version
├── Fournisseur
├── Identifiant unique (purl préféré)
├── Licence(s)
├── Hash/checksum (SHA-256 minimum)
├── Type de composant (bibliothèque, framework, etc.)
└── Relation avec le parent

RELATIONS :
├── Relations de dépendance
├── Relations de contenance
└── Relations d'outils de build (si applicable)

Critères de Qualité SBOM

Le TR-03183 définit les attentes de qualité :

Complétude :

  • Toutes les dépendances directes incluses
  • Dépendances transitives incluses
  • Composants du système d'exploitation (si embarqué)
  • Outils de build (si pertinents pour la sécurité)

Précision :

  • Numéros de version corrects
  • Identifiants uniques valides (format purl)
  • Information de licence précise
  • Hashs fonctionnels

Actualité :

  • Le SBOM reflète la version actuelle du produit
  • Mis à jour à chaque release
  • Vulnérabilités évaluées par rapport au SBOM actuel

Exemple de Génération SBOM

Structure SBOM conforme (CycloneDX) :

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79",
  "version": 1,
  "metadata": {
    "timestamp": "2027-01-15T10:00:00Z",
    "tools": [
      {
        "vendor": "Syft",
        "name": "syft",
        "version": "0.98.0"
      }
    ],
    "component": {
      "type": "firmware",
      "name": "SmartSensor Pro",
      "version": "2.4.1",
      "supplier": {
        "name": "Example GmbH",
        "url": ["https://example.de"]
      },
      "purl": "pkg:firmware/example/smartsensor-pro@2.4.1"
    }
  },
  "components": [
    {
      "type": "library",
      "name": "openssl",
      "version": "3.0.12",
      "purl": "pkg:generic/openssl@3.0.12",
      "licenses": [
        {
          "license": {
            "id": "Apache-2.0"
          }
        }
      ],
      "hashes": [
        {
          "alg": "SHA-256",
          "content": "abc123..."
        }
      ],
      "supplier": {
        "name": "OpenSSL Software Foundation"
      }
    }
  ],
  "dependencies": [
    {
      "ref": "pkg:firmware/example/smartsensor-pro@2.4.1",
      "dependsOn": [
        "pkg:generic/openssl@3.0.12"
      ]
    }
  ]
}

TR-03183 Partie 3 : Gestion des Vulnérabilités

Exigence de Format CSAF

Le TR-03183 requiert des avis de sécurité au format CSAF (Common Security Advisory Framework) 2.0.

Pourquoi CSAF :

  • Lisible par machine
  • Structure standardisée
  • Supporte l'automatisation
  • Inclut l'arbre produit et le mapping des vulnérabilités

Structure d'Avis CSAF

{
  "document": {
    "category": "csaf_security_advisory",
    "csaf_version": "2.0",
    "publisher": {
      "category": "vendor",
      "name": "Example GmbH",
      "namespace": "https://example.de"
    },
    "title": "Mise à jour de sécurité pour SmartSensor Pro",
    "tracking": {
      "current_release_date": "2027-02-01T10:00:00Z",
      "id": "EXAMPLE-2027-001",
      "initial_release_date": "2027-02-01T10:00:00Z",
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "category": "product_name",
        "name": "SmartSensor Pro",
        "branches": [
          {
            "category": "product_version_range",
            "name": "vers:generic/<2.4.2",
            "product": {
              "name": "SmartSensor Pro < 2.4.2",
              "product_id": "CSAFPID-0001"
            }
          }
        ]
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2027-XXXXX",
      "product_status": {
        "fixed": ["CSAFPID-0002"],
        "known_affected": ["CSAFPID-0001"]
      },
      "remediations": [
        {
          "category": "vendor_fix",
          "details": "Mettre à jour vers la version 2.4.2",
          "product_ids": ["CSAFPID-0001"]
        }
      ]
    }
  ]
}

Exigences VEX

Le TR-03183 attend des documents VEX (Vulnerability Exploitability eXchange) :

Objectif : Communiquer si une vulnérabilité connue dans un composant affecte réellement votre produit.

Options de Statut :

  • not_affected : La vulnérabilité n'affecte pas ce produit
  • affected : La vulnérabilité affecte ce produit
  • fixed : La vulnérabilité était présente mais est maintenant corrigée
  • under_investigation : Encore en évaluation

Exemple VEX (CycloneDX VEX) :

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "version": 1,
  "vulnerabilities": [
    {
      "id": "CVE-2027-XXXXX",
      "source": {
        "name": "NVD",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2027-XXXXX"
      },
      "analysis": {
        "state": "not_affected",
        "justification": "code_not_reachable",
        "detail": "La fonction vulnérable n'est pas appelée dans notre implémentation."
      },
      "affects": [
        {
          "ref": "pkg:generic/openssl@3.0.12"
        }
      ]
    }
  ]
}

Implémentation Pratique

Flux de Travail de Génération SBOM

FLUX SBOM CONFORME TR-03183

1. PHASE DE BUILD
   ├── Générer le SBOM pendant le build
   ├── Outil : Syft, Trivy, ou similaire
   ├── Format : CycloneDX 1.5
   └── Inclure toutes les dépendances

2. PHASE DE VALIDATION
   ├── Vérifier la présence des champs requis
   ├── Vérifier la validité du format purl
   ├── Valider les hashs
   └── Confirmer la complétude

3. SCAN DE VULNÉRABILITÉS
   ├── Scanner le SBOM contre les bases de vulnérabilités
   ├── Documenter les découvertes
   ├── Générer VEX pour les faux positifs
   └── Suivre la remédiation pour les vrais positifs

4. LIVRAISON
   ├── Joindre à la release produit
   ├── Publier sur le portail client
   ├── Fournir sur demande
   └── Mettre à jour à chaque version

5. MAINTENANCE
   ├── Re-scanner périodiquement
   ├── Mettre à jour VEX si nécessaire
   ├── Publier les avis (CSAF)
   └── Suivre tout au long du cycle de vie produit

Processus de Publication d'Avis

FLUX VULNÉRABILITÉ → AVIS

Découverte
    │
    ▼
Évaluation
├── Versions affectées
├── Sévérité (CVSS)
└── Exploitabilité
    │
    ▼
Développement de Remédiation
├── Développement du patch
├── Tests
└── Préparation de release
    │
    ▼
Création d'Avis (CSAF)
├── Métadonnées du document
├── Arbre produit
├── Détails de vulnérabilité
└── Info de remédiation
    │
    ▼
Publication
├── CSAF vers les canaux de distribution
├── Avis web (lisible par humain)
├── Notification client
└── Mise à jour des documents VEX
    │
    ▼
Surveillance
├── Suivre l'adoption des patchs
├── Surveiller l'exploitation
└── Mettre à jour l'avis si nécessaire

Checklist de Conformité TR-03183 

CHECKLIST CONFORMITÉ TR-03183

PARTIE 2 - SBOM :

Format :
[ ] CycloneDX 1.4+ ou SPDX 2.3+
[ ] Valide selon le schéma
[ ] Lisible par machine

Métadonnées :
[ ] Identifiant/numéro de série du document
[ ] Horodatage de création
[ ] Information sur l'outil créateur
[ ] Version de la spécification

Composant Principal :
[ ] Nom du produit
[ ] Version du produit
[ ] Information fournisseur
[ ] Identifiant unique (purl)

Chaque Composant :
[ ] Nom et version
[ ] Information fournisseur
[ ] Identifiant unique (purl préféré)
[ ] Information de licence
[ ] Hash (SHA-256+)
[ ] Type de composant

Relations :
[ ] Relations de dépendance définies
[ ] Arbre de dépendances complet

Qualité :
[ ] Toutes les dépendances directes incluses
[ ] Dépendances transitives incluses
[ ] Versions précises et actuelles
[ ] Identifiants valides

PARTIE 3 - GESTION DES VULNÉRABILITÉS :

Format d'Avis :
[ ] Capacité format CSAF 2.0
[ ] Arbre produit défini
[ ] Mapping des vulnérabilités

VEX :
[ ] Documents VEX pour les composants SBOM
[ ] Statut pour les vulnérabilités connues
[ ] Justification pour "not_affected"

Processus :
[ ] Surveillance des vulnérabilités active
[ ] Processus de réponse défini
[ ] Processus de publication d'avis
[ ] Processus de notification client

Relation avec la Conformité CRA

TR-03183 comme Meilleure Pratique CRA

Le TR-03183 opérationnalise les exigences CRA :

Exigence CRA Implémentation TR-03183
"SBOM lisible par machine" CycloneDX/SPDX avec champs spécifiques
"Identifier les vulnérabilités" Scan SBOM + processus VEX
"Documenter les vulnérabilités" Avis CSAF
"Traiter sans délai" Processus de réponse défini

Stratégie de Conformité

Si vous ciblez spécifiquement l'Allemagne :

  • Implémenter le TR-03183 complètement
  • Démontre la conformité CRA plus l'alignement avec le marché allemand

Si vous ciblez l'UE au sens large :

  • La conformité CRA est l'exigence légale
  • Le TR-03183 représente une meilleure pratique élevée
  • Envisager l'implémentation même pour les marchés non allemands

Harmonisation Future

Le TR-03183 peut influencer :

  • Les futures normes harmonisées CRA
  • La normalisation européenne (CEN/CENELEC)
  • Les exigences techniques d'autres États membres

Implémenter le TR-03183 maintenant vous positionne en avance sur les exigences futures potentielles.

Considérations du Marché Allemand

Certification BSI

Pour certains produits, la certification BSI peut être pertinente :

  • Produits de sécurité IT
  • Services cloud
  • Composants d'infrastructure critique

La conformité TR-03183 soutient (mais ne remplace pas) les processus de certification.

Marchés Publics

Les marchés publics allemands attendent de plus en plus :

  • La fourniture de SBOM
  • La capacité de gestion des vulnérabilités
  • La conformité aux normes

La conformité TR-03183 répond à ces attentes.

Attentes des Clients

Les clients entreprise allemands attendent souvent :

  • Des SBOM détaillés
  • Une communication rapide des vulnérabilités
  • Un processus d'avis formel

Le TR-03183 fournit le cadre qu'ils reconnaissent.

Outils pour la Conformité TR-03183

Génération SBOM

Outil CycloneDX SPDX Notes
Syft Scan de conteneurs et systèmes de fichiers
Trivy Scan de vulnérabilités intégré
cdxgen Support multi-langages
SPDX tools Outillage SPDX officiel

Validation SBOM

Outil Objectif
cyclonedx-cli Valider les SBOM CycloneDX
spdx-tools Valider les SBOM SPDX
sbom-scorecard Évaluation de qualité

Création CSAF

Outil Objectif
Secvisogram Éditeur CSAF (web)
CSAF validator Valider les documents CSAF

Gestion VEX

Outil Objectif
vexctl Gestion des documents VEX
OpenVEX Génération et validation VEX

Info : BSI TR-03183 est une norme allemande, mais elle devient la reference de qualite de facto pour la conformite SBOM du CRA dans toute l'UE.

Conseil : Utilisez les niveaux de qualite TR-03183 pour ameliorer progressivement votre SBOM : commencez par Basic, visez Comprehensive.

Guides connexes :

Comment CRA Evidence Aide

CRA Evidence soutient la conformité TR-03183 :

  • Gestion SBOM : Support CycloneDX et SPDX
  • Validation : Vérifier la complétude SBOM selon les exigences TR-03183
  • Suivi VEX : Gérer le statut des vulnérabilités à travers les produits
  • Support des avis : Assistance à la génération CSAF
  • Marché allemand : Orientations spécifiques pour l'alignement BSI

Répondez aux exigences TR-03183 sur app.craevidence.com.

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.

VÉRIFIER AVEC LA SOURCE PRIMAIRE : Les détails du TR-03183 doivent être vérifiés par rapport à la publication officielle du BSI, car les spécifications peuvent être mises à jour.

Sujets traités dans cet article

Partager cet article

Articles connexes

Does the CRA apply to your product?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d’application du Cyber Resilience Act de l’UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours
Retour à tous les articles