Quels formats SBOM CRA Evidence prend-il en charge ?

CRA Evidence prend en charge les formats CycloneDX (JSON et XML) et SPDX (JSON, tag-value et RDF). Les SBOMs peuvent être téléchargés via l'interface web, l'API REST ou l'outil CLI CI/CD.

Comment fonctionne l'analyse des vulnérabilités ?

CRA Evidence analyse les composants de votre SBOM contre plusieurs bases de données — NVD via Trivy et OSV.dev (couvrant les avis GitHub, Go, Rust, PyPI). Chaque découverte est enrichie avec les scores de probabilité d'exploitation EPSS de FIRST.org et croisée avec le catalogue CISA KEV des vulnérabilités connues exploitées. Les versions de production sont réanalysées automatiquement lorsque les bases de données de vulnérabilités se mettent à jour. Les découvertes que vous rejetez ou supprimez génèrent automatiquement des brouillons de déclarations VEX pour la révision par lot et l'exportation CycloneDX.

Qu'est-ce que le signalement ENISA Article 14 ?

L'Article 14 du Cyber Resilience Act impose aux fabricants de signaler les vulnérabilités activement exploitées à l'ENISA et aux CSIRT nationaux dans des délais stricts : alerte précoce sous 24 heures, rapport détaillé sous 72 heures, rapport final sous 14 jours. CRA Evidence fournit des flux de travail structurés et la génération de rapports pour ces obligations.

CRA Evidence prend-il en charge tous les rôles d'opérateur économique du CRA ?

Oui. CRA Evidence fournit des flux de travail dédiés pour les trois rôles CRA : Fabricants (outils de conformité complets), Importateurs (vérification et diligence raisonnable) et Distributeurs (contrôles de diligence et documentation). Chaque rôle dispose d'un espace de travail personnalisé avec des fonctionnalités spécifiques au rôle.

CRA Evidence peut-il s'intégrer aux pipelines CI/CD ?

Oui. CRA Evidence fournit un outil CLI et une API REST pour l'intégration CI/CD. Vous pouvez télécharger des SBOMs, vérifier le statut de conformité CRA et bloquer les versions selon des seuils de vulnérabilité directement dans vos pipelines GitHub Actions, GitLab CI ou Jenkins.

Fonctionnalités | CRA Evidence

Gestion des artefacts

Vos SBOMs, validés et versionnés

Déposez un fichier CycloneDX ou SPDX. Nous le validons selon les critères de qualité BSI TR-03183, notons sa complétude et conservons des enregistrements prêts pour l'audit pour chaque version de produit.

CycloneDX et SPDX Le format est détecté automatiquement au téléchargement. Validation du schéma CycloneDX 1.6, analyse SPDX 2.2+.

Notation de qualité TR-03183 Métriques pondérées pour la complétude des PURL, hachages, fournisseurs, licences et versions.

Support HBOM et VEX Extraction de la nomenclature matérielle (HBOM) et du VEX (Vulnerability Exploitability eXchange) depuis CycloneDX.

Visualisation du graphe de dépendances Arbre de composants interactif Mermaid.js avec expansion des dépendances transitives et navigation par clic.

Comparaison de versions et détection des écarts Comparez les SBOMs entre les versions. Détectez les composants ajoutés, supprimés et modifiés.

Rédaction VEX Créez et publiez des déclarations VEX (Vulnerability Exploitability eXchange) directement dans l'application. Exportez au format CycloneDX VEX.

CycloneDX SPDX HBOM VEX SARIF

Score de qualité

Notation automatique selon le standard BSI TR-03183 avec recommandations d'amélioration.

Arbre des dépendances

Visualisez les dépendances directes et transitives avec détection des dépendances circulaires.

Comparaison de versions

Comparez les SBOMs entre les versions. Suivez ce qui a changé et pourquoi.

Vérification des licences

Identifiez les combinaisons de licences problématiques dans vos composants.

Analyse des Vulnérabilités

Trouvez les vulnérabilités avant les régulateurs

Chaque SBOM est analysé contre plusieurs bases de données de vulnérabilités — NVD via Trivy et OSV.dev (agrégeant les avis de sécurité de GitHub, Go, Rust et PyPI). Chaque découverte est enrichie avec EPSS (Exploit Prediction Scoring System) de FIRST.org pour estimer la probabilité réelle d'exploitation dans les 30 prochains jours — pour corriger ce que les attaquants ciblent réellement, pas seulement ce qui a le score CVSS le plus élevé. Les versions de production et de staging sont réanalysées automatiquement lorsque les bases de données de vulnérabilités sont mises à jour, et toutes les découvertes sont croisées avec le catalogue CISA Known Exploited Vulnerabilities.

Suivi de la remédiation Cycle de vie en cinq étapes par vulnérabilité : démarrage, correction, vérification, publication. Suivi de l'état par version affectée.

Gestion des suppressions Supprimez les faux positifs avec justification, dates d'expiration et flux de validation.

Analyse d'accessibilité Marquez les composants comme accessibles ou inaccessibles pour prioriser ce qui compte vraiment.

Avis CSAF Cycle de vie complet des avis de sécurité : importation, validation, publication. Du brouillon à la version finale avec comparaison sémantique. Conforme à l'Art. 11 du CRA.

Détection multi-sources Référence croisée Trivy + OSV.dev. Si un scanner manque un CVE, l'autre le détecte. La déduplication bidirectionnelle garantit l'absence de doublons.

Flux de travail VEX automatisé Triage decisions auto-generate draft VEX statements — suppressions, dismissals, and remediation status changes all feed the VEX bridge. Batch review and publish with one click. Export CycloneDX 1.6-compliant VEX per version.

Suivi de la couverture VEX Sachez exactement quel pourcentage de vos vulnérabilités évaluées disposent de déclarations VEX publiées. La métrique de couverture relie les décisions de suppression, le statut de remédiation et la rédaction VEX en un seul chiffre prêt pour l'audit.

Que se passe-t-il lors du téléchargement

Tableau de bord des événements de sécurité CRA Evidence montrant le suivi des vulnérabilités et incidents avec les délais de notification ENISA, les niveaux de gravité et l'analyse d'impact par produit

Cliquez pour agrandir

Import SARIF Analyse de firmware Prise en charge VEX OSV.dev Notation EPSS

Scanners NVD uniquement vs. CRA Evidence

Fonctionnalité	NVD uniquement	CRA Evidence
Coverage	CVEs généraux	NVD + GitHub + Go + Rust + PyPI
Intelligence d'exploitation	CVSS (sévérité uniquement)	EPSS (probabilité réelle)
Alertes CISA KEV		Automatic
Fréquence de mise à jour	Quotidienne	Continue (synchronisée avec OSV.dev)
Correspondance des versions par écosystème	Basé sur CPE	npm, Maven, Go, Cargo, NuGet, Gem
Prise en charge VEX	Export manuel (le cas échéant)	Auto-brouillon depuis le triage → Révision → Publier

Documentation technique

Documentation technique réellement conforme au CRA

Article 13 exige de conserver la documentation technique pendant 10 ans après la mise sur le marché d'un produit. Nous générons les dossiers Annexe VII, les certificats et les rapports de conformité pour que vous soyez prêt lorsqu'une autorité de surveillance du marché se présente.

Export du dossier technique

Un ZIP avec tout : manifeste lisible par machine (JSON), SBOMs (CycloneDX/SPDX), attestations, checklist de conformité et rapports d'attribution. Lisible par l'homme et par la machine, structuré selon l'Annex VII.

Déclaration UE de conformité

Générez des documents de Déclaration de Conformité UE avec une mise en forme appropriée, le contrôle de version et le suivi marquage CE.

Rapports de conformité

PDF ou HTML. Résumé des vulnérabilités, inventaire des composants, scores de qualité et état de la remédiation dans un seul rapport que vous pouvez remettre aux auditeurs.

Fiche de données de sécurité

Assistant pour la fiche de données de sécurité Annex II. Rédigez, validez, publiez. Exportez en PDF, Markdown ou HTML.

Certificats

Cycle de vie des certificats : brouillon, émission, révocation. Certificats émis immuables avec génération de PDF téléchargeable.

Documents multilingues

Générez des documents en 6 langues : anglais, espagnol, allemand, français, italien, polonais.

Conformité à l'Annex I

Évaluez votre produit selon les 20 exigences essentielles de cybersécurité de l'Annex I Partie I du CRA. Suivez ce qui est atteint et ce qui manque.

Signature des artefacts

Signature basée sur Sigstore pour les SBOMs et les artefacts. Modes sans clé et avec clé avec vérification de signature pour l'intégrité de la chaîne d'approvisionnement.

Suivi de la période de support

Définissez et suivez la période de support minimale obligatoire de 5 ans selon l'Art. 13(5) du CRA. Alertes lorsque les produits approchent de la fin du support.

Notifications ENISA

Respectez chaque délai de signalement ENISA

Le CRA Article 14 impose de notifier ENISA des vulnérabilités activement exploitées et des incidents graves. Deux procédures distinctes avec des délais différents. CRA Evidence gère les deux avec des modèles structurés et un suivi des échéances.

24h

Alerte précoce

Notification initiale de vulnérabilité dans les 24 heures suivant la découverte. Identifiant CVE, produits affectés et évaluation de la complexité de l'attaque.

72h

Notification détaillée

Analyse technique avec calendrier de remédiation, solutions de contournement et évaluation élargie de l'impact sous 72 heures.

14d

Rapport final

Confirmation de résolution avec détails du correctif permanent, calendrier de déploiement et retour d'expérience. 14 jours pour les vulnérabilités, 30 jours pour les incidents.

Rappels d'échéances Alertes automatiques avant l'expiration de chaque obligation

Compatible ENISA SRP Charges utiles structurées pour la plateforme de signalement unique ENISA. Intégration dès le premier jour lors du lancement de l'API.

Historique des soumissions Piste d'audit complète de toutes les notifications générées et du suivi des statuts

Gestion des incidents Flux de travail distinct pour les incidents graves (Art. 14(3)). Rapport final sous 30 jours contre 14 jours pour les vulnérabilités.

Rapports PDF et alertes de dépassement PDFs d'alerte précoce, de rapport détaillé et de rapport final. Compte à rebours sur le tableau de bord à l'approche des délais.

Coordination CSIRT Notification simultanée à l'ENISA et à votre CSIRT national selon l'Article 14.

Conçu pour chaque rôle CRA

Tableaux de bord Fabricant, Importateur et Distributeur

Le CRA impose des obligations différentes aux fabricants (Art. 13), importateurs (Art. 19) et distributeurs (Art. 20). Chaque rôle dispose de son propre espace de travail avec les flux de travail réellement pertinents.

Gestion des produits et versions

Produits organisés par catégorie CRA : Par défaut, Important Classe I/Classe II, Critique. Chaque version suit son état de publication, son environnement et son niveau de rétention.

Pipeline d'artefacts complet

Téléchargez SBOM, HBOM et VEX par version. La notation de qualité et l'analyse des vulnérabilités se lancent automatiquement.

Gestion des vulnérabilités et des incidents

Suivi des CVE, flux de remédiation, notifications ENISA. Le tableau de bord sécurité classe tout par score EPSS et signale les entrées CISA KEV.

Génération de dossiers techniques

L'export Annex VII regroupe tout dans un ZIP : SBOMs lisibles par machine, checklists de conformité, rapports d'attribution et déclarations de conformité. Prêt pour les audits automatisés de surveillance du marché.

Notifications aux clients

Système de notification des vulnérabilités pour les clients en aval. Modèles multilingues avec gestion des listes de diffusion.

Badges de confiance

Badges de confiance de conformité intégrables sur vos pages produit. Lien vers la vérification publique de votre statut de conformité CRA.

Suivi de l'évaluation de conformité

Suivez votre parcours d’évaluation selon la catégorie de produit : auto-évaluation (Par défaut), contrôle interne (Important Classe I) ou évaluation par un tiers (Important Classe II, Critique).

Flux de vérification Art. 19

Liste de contrôle étape par étape couvrant les exigences de l'Art. 19 : vérification du marquage CE, revue Annex II, identification de l'importateur sur le produit, déclaration de conformité UE collectée, validation finale.

Registre des fabricants

Suivez vos fabricants : contacts, représentants dans l'UE, métadonnées CVD/CSAF. Définissez la fréquence de re-vérification pour chacun.

Décisions d'arrêt de distribution

Un problème détecté ? Bloquez le produit. Enregistrez votre justification, notifiez les parties prenantes et signalez-le à l'autorité. Tout est tracé.

Déclencheurs de re-vérification

Nouvelle vulnérabilité détectée ? Mise à jour majeure publiée ? Date de re-vérification approchant ? Vous recevrez une alerte pour re-vérifier.

Cloner les vérifications

Vous vérifiez une nouvelle version du même produit ? Clonez la vérification précédente. L'état de la liste de contrôle et les données du fabricant sont conservés.

Tableau de bord des vérifications

Voyez en un coup d'œil où en sont les choses : combien de produits sont vérifiés, en attente, bloqués ou à re-vérifier.

Liste de contrôle de diligence Art. 20

Tout ce que l'Art. 20 exige, sous forme de liste de contrôle : identification et traçabilité du produit, marquage CE, déclaration UE, contacts du fabricant, détection des anomalies.

Téléchargement des preuves CE

Téléchargez vos preuves de marquage CE : photos, numérisations, certificats. Les contrôles de type et de taille de fichier sont intégrés, et tout est journalisé.

Certificats de vérification

Générez des certificats PDF attestant de la conformité de diligence. Inclut les détails du distributeur, le périmètre, la date et un numéro de vérification unique.

Actions d'arrêt de distribution

Un problème ? Arrêtez la distribution. La justification est enregistrée, et les autorités ainsi que les fabricants sont notifiés.

Vue du portefeuille

Consultez toutes vos vérifications en un seul endroit. Filtrez par statut, produit ou date de complétion pour identifier ce qui nécessite votre attention.

Progression de la conformité

Barres de progression visuelles par produit. Vous voyez en un coup d'œil l'avancement de chaque vérification et ce qu'il reste à faire.

CI/CD et automatisation

S'intègre dans votre pipeline de build

Un CLI et une API REST sont disponibles. Téléchargez des SBOMs, déclenchez des analyses et contrôlez les publications depuis le CI. Compatible avec GitHub Actions, GitLab CI ou tout outil capable d'exécuter une commande shell.

Outil CLI Téléchargez SBOM/HBOM/VEX, analysez, vérifiez le statut, gérez les publications et comparez les versions depuis le terminal.

Seuils d'échec par sévérité Échec des builds CI lorsque des vulnérabilités critiques ou élevées sont détectées. Configurable par pipeline.

Clés API à périmètre défini Permissions granulaires : sbom:read, sbom:write, vuln:read, vuln:write, et plus encore. Avec limitation de débit et journalisation.

Webhooks Recevez des événements pour les découvertes de vulnérabilités, les alertes d'échéances ENISA et les autres événements de conformité.

Moteur de politiques Règles de politique sous forme de code pour les licences, les seuils de vulnérabilité, les scores de qualité et les composants bloqués. Périmètre du global à la version.

Points de validation des publications Flux de validation configurables avant la publication des versions. Points de contrôle manuels et vérifications automatisées des conditions.

# Analyser une image Docker et télécharger le SBOM
$ docker run --rm \
-e CRA_EVIDENCE_API_KEY="cra_xxx" \
-v /var/run/docker.sock:/var/run/docker.sock \
craevidence/cli:latest \
upload-sbom \
--product my-app \
--version 2.1.0 \
--image my-app:2.1.0 \
--scan --fail-on high

Upload successful!

Product       my-app (created new)
Version       2.1.0 (created new)
Components    142
Quality Score 87%

Vulnerabilities
  Critical    0
  High        0
  Medium      3
  Low         1

GitHub Actions GitLab CI Jenkins Tout CI

Voir le guide complet d'intégration CI/CD

Intégrations

Compatible avec les outils que vous utilisez déjà

Jira

Créez directement des tickets pour les vulnérabilités

Slack

Alertes en temps réel sur les vulnérabilités et les échéances

GitHub

Synchronisation des avis de sécurité et intégration des dépôts

Dependency-Track

Importez des SBOMs depuis des instances existantes

Microsoft Teams

Notifications dans vos canaux Teams

Échéances ENISA

Rappels automatisés à 24h, 72h, 14j/30j

Portail fournisseurs

Partage de SBOM avec vos clients avec contrôle d'accès

Webhook générique

Envoyez des événements vers n'importe quel endpoint HTTP

Sécurité et confiance

Conçu pour que vos données de conformité soient en sécurité

Contrôle d'accès

Accès basé sur les rôles

Rôles Owner, Admin, Member, Viewer. Clés API à périmètre défini avec permissions granulaires.

SSO et MFA

SAML 2.0, OAuth Google et Microsoft, provisionnement SCIM. Authentification multi-facteurs TOTP.

Protection des données

Chiffrement

AES-256 au repos, TLS 1.3 en transit. Hachage de mots de passe Argon2id.

Multi-tenant

Isolation complète des tenants. Chaque requête respecte les limites de l'organisation.

Observabilité

Journalisation d'Audit

Traçabilité complète de toutes les actions. Piste d'audit interrogeable avec export CSV.

Limitation de débit

Limitation de débit par fenêtre glissante sur les endpoints de connexion, d'API et de téléchargement.

Conformité

Sécurité du contenu

En-têtes CSP stricts, protection CSRF, assainissement HTML et HSTS.

Conservation sur 10 ans

Données de production conservées pendant 10 ans conformément à l'Art. 13 du CRA. Conservation par niveau.

Outils Gratuits

Vous ne savez pas si le CRA s'applique à vous ?

Identifiez vos obligations avant de vous inscrire. Ces outils sont gratuits et ne nécessitent pas de compte.

Vérificateur d'Applicabilité du CRA Assistant en 11 questions pour déterminer si le Cyber Resilience Act s'applique à votre produit. Couvre les exemptions sectorielles, les exigences de connectivité et la classification des produits.

Quiz des rôles CRA Déterminez si vous êtes fabricant, importateur ou distributeur au sens du CRA. Chaque rôle a des obligations différentes.

Résultats partageables Partagez vos résultats d'évaluation avec vos collègues ou vos équipes juridiques via une URL unique. Disponible dans les 6 langues.

Essayez le vérificateur d'applicabilité CRA Essayez le quiz CRA gratuit

Aucune inscription requise. Environ 2 minutes.

Plateforme de conformité CRA pour fabricants, importateurs et distributeurs.