Quels formats SBOM CRA Evidence prend-il en charge ?

CRA Evidence prend en charge les formats CycloneDX (JSON et XML) et SPDX (JSON, tag-value et RDF). Les SBOMs peuvent être téléchargés via l'interface web, l'API REST ou l'outil CLI CI/CD.

Comment fonctionne l'analyse des vulnérabilités ?

CRA Evidence operates its own Vulnerability Knowledge Base, synced every 15 minutes from NVD/cvelistV5, OSV.dev (covering GitHub, Go, Rust, PyPI advisories), CISA KEV, and EPSS scoring. CRA Evidence vulnerability scanner runs as an independent verification layer. Each finding is enriched with EPSS exploit probability scores from FIRST.org and cross-referenced with the CISA KEV catalog for known-exploited vulnerabilities. Production versions are rescanned automatically when vulnerability databases update. Findings that you dismiss or suppress automatically generate draft VEX statements for batch review and CycloneDX export.

Qu'est-ce que le signalement ENISA Article 14 ?

L'Article 14 du Cyber Resilience Act impose aux fabricants de signaler les vulnérabilités activement exploitées à l'ENISA et aux CSIRT nationaux dans des délais stricts : alerte précoce sous 24 heures, rapport détaillé sous 72 heures, rapport final sous 14 jours. CRA Evidence fournit des flux de travail structurés et la génération de rapports pour ces obligations.

CRA Evidence prend-il en charge tous les rôles d'opérateur économique du CRA ?

Oui. CRA Evidence fournit des flux de travail dédiés pour les trois rôles CRA : Fabricants (outils de conformité complets), Importateurs (vérification et diligence raisonnable) et Distributeurs (contrôles de diligence et documentation). Chaque rôle dispose d'un espace de travail personnalisé avec des fonctionnalités spécifiques au rôle.

CRA Evidence peut-il s'intégrer aux pipelines CI/CD ?

Oui. CRA Evidence fournit un outil CLI et une API REST pour l'intégration CI/CD. Vous pouvez télécharger des SBOMs, vérifier le statut de conformité CRA et bloquer les versions selon des seuils de vulnérabilité directement dans vos pipelines GitHub Actions, GitLab CI ou Jenkins.

Plateforme de Conformité CRA | SBOM, VEX et Notifications ENISA

Gestion des artefacts

Vos SBOMs, validés et versionnés

Déposez un fichier CycloneDX ou SPDX. Nous le validons selon les critères de qualité BSI TR-03183, notons sa complétude et conservons des enregistrements prêts pour l'audit pour chaque version de produit.

CycloneDX et SPDX Le format est détecté automatiquement au téléchargement. Validation du schéma CycloneDX 1.6, analyse SPDX 2.2+.

Notation de qualité TR-03183 Métriques pondérées pour la complétude des PURL, hachages, fournisseurs, licences et versions.

Support HBOM et VEX Extraction de la nomenclature matérielle (HBOM) et du VEX (Vulnerability Exploitability eXchange) depuis CycloneDX.

Visualisation du graphe de dépendances Arbre de composants interactif Mermaid.js avec expansion des dépendances transitives et navigation par clic.

Comparaison de versions et détection des écarts Comparez les SBOMs entre les versions. Détectez les composants ajoutés, supprimés et modifiés.

Rédaction VEX Créez et publiez des déclarations VEX (Vulnerability Exploitability eXchange) directement dans l'application. Exportez au format CycloneDX VEX.

CycloneDX SPDX HBOM VEX SARIF

Score de qualité

Notation automatique selon le standard BSI TR-03183 avec recommandations d'amélioration.

Arbre des dépendances

Visualisez les dépendances directes et transitives avec détection des dépendances circulaires.

Comparaison de versions

Comparez les SBOMs entre les versions. Suivez ce qui a changé et pourquoi.

Vérification des licences

Identifiez les combinaisons de licences problématiques dans vos composants.

Analyse des Vulnérabilités

Détectez de nouveaux CVE en quelques minutes, pas en jours

Nous synchronisons les renseignements sur les vulnérabilités depuis NVD, OSV.dev, CISA KEV et EPSS toutes les 15 minutes, puis nous revérifions les résultats avec un scanner indépendant. Détection plus rapide, moins de zones d'ombre.

Synchronisé toutes les 15 minutes NVD/cvelistV5, OSV.dev, CISA KEV et EPSS sont rafraîchis à un rythme de 15 minutes.

Couche de vérification indépendante Le scanner revérifie les résultats séparément, afin que les détections manquées dans une source puissent tout de même être repérées.

Priorisation basée sur l'EPSS Chaque résultat est enrichi de données EPSS afin que les équipes se concentrent sur l'exploitation réelle probable, et pas seulement sur la gravité brute.

Rescans automatiques et recoupements avec KEV Les versions de production et de préproduction sont réanalysées automatiquement, et les résultats sont recoupés avec le catalogue CISA KEV.

Suivi de la remédiation Cycle de vie en cinq étapes par vulnérabilité : démarrage, correction, vérification, publication. Suivi de l'état par version affectée.

Gestion des suppressions Supprimez les faux positifs avec justification, dates d'expiration et flux de validation.

Analyse d'accessibilité Marquez les composants comme accessibles ou inaccessibles pour prioriser ce qui compte vraiment.

Avis CSAF Cycle de vie complet des avis de sécurité : importation, validation, publication. Du brouillon à la version finale avec comparaison sémantique. Conforme à l'Art. 11 du CRA.

Base de Connaissances des Vulnérabilités Five authoritative sources aggregated into a single local knowledge base: NVD/cvelistV5, OSV.dev, GitHub Security Advisories, CISA KEV, and EPSS. Synced every 15 minutes. Our vulnerability scanner runs as an independent verification layer for zero blind spots.

Flux VEX automatisé et suivi de la couverture Les décisions de triage génèrent automatiquement des brouillons de déclarations VEX : suppressions, rejets et changements de statut de remédiation alimentent tous le pont VEX. Revue par lots et publication en un clic. Export de VEX conforme à CycloneDX 1.6 par version. Suivez le pourcentage de couverture sur l'ensemble des vulnérabilités évaluées en un seul indicateur prêt pour l'audit.

Renseignement corrélé sur les vulnérabilités

Synchronisation toutes les 15 minutes

Source NVD / cvelistV5 Mises à jour de base des CVE

Source OSV.dev Avis spécifiques à un écosystème

Source CISA KEV Vulnérabilités connues exploitées

Source EPSS Probabilité d'exploitation réelle

Étape 1 Agréger et vérifier

Plusieurs flux de renseignement sont corrélés, puis revérifiés via un scanner indépendant.

Étape 2 Priorisez ce qui compte

Les données KEV et EPSS font ressortir les résultats les plus susceptibles de devenir de véritables problèmes opérationnels.

Correspondance KEV Priorisé par EPSS

Résultat Les résultats vérifiés passent plus vite à l'action

Les rescans automatiques maintiennent à jour les versions de production et de préproduction pendant que le flux reste concentré sur le risque actif.

Documentation technique

Dossiers de l'Annexe VII, prêts à la demande

L'Article 13 impose 10 ans de documentation technique. Nous générons les dossiers de l'Annexe VII, les certificats et les rapports de conformité pour que les demandes de surveillance du marché ne vous prennent pas au dépourvu.

Export du dossier technique

Un ZIP avec tout : manifeste lisible par machine (JSON), SBOMs (CycloneDX/SPDX), attestations, checklist de conformité et rapports d'attribution. Lisible par l'homme et par la machine, structuré selon l'Annex VII.

Déclaration UE de conformité

Générez des documents de Déclaration de Conformité UE avec une mise en forme appropriée, le contrôle de version et le suivi marquage CE.

Rapports de conformité

PDF ou HTML. Résumé des vulnérabilités, inventaire des composants, scores de qualité et état de la remédiation dans un seul rapport que vous pouvez remettre aux auditeurs.

Fiche de données de sécurité

Assistant pour la fiche de données de sécurité Annex II. Rédigez, validez, publiez. Exportez en PDF, Markdown ou HTML.

Certificats

Cycle de vie des certificats : brouillon, émission, révocation. Certificats émis immuables avec génération de PDF téléchargeable.

Documents multilingues

Generate documents in 8 languages: English, Spanish, German, French, Italian, Polish, Dutch, and Swedish.

Conformité à l'Annex I

Évaluez votre produit selon les 20 exigences essentielles de cybersécurité de l'Annex I Partie I du CRA. Suivez ce qui est atteint et ce qui manque.

Signature des artefacts

Signature basée sur Sigstore pour les SBOMs et les artefacts. Modes sans clé et avec clé avec vérification de signature pour l'intégrité de la chaîne d'approvisionnement.

Suivi de la période de support

Définissez et suivez la période de support minimale obligatoire de 5 ans selon l'Art. 13(5) du CRA. Alertes lorsque les produits approchent de la fin du support.

Notifications ENISA

Ne manquez plus jamais une échéance ENISA

L'Article 14 prévoit deux voies de notification avec des échéances distinctes : vulnérabilités et incidents graves. Nous couvrons les deux avec des modèles structurés et un suivi par compte à rebours.

24h

Alerte précoce

Notification initiale de vulnérabilité dans les 24 heures suivant la découverte. Identifiant CVE, produits affectés et évaluation de la complexité de l'attaque.

72h

Notification détaillée

Analyse technique avec calendrier de remédiation, solutions de contournement et évaluation élargie de l'impact sous 72 heures.

14d

Rapport final

Confirmation de résolution avec détails du correctif permanent, calendrier de déploiement et retour d'expérience. 14 jours pour les vulnérabilités, 30 jours pour les incidents.

Rappels d'échéances Alertes automatiques avant l'expiration de chaque obligation

Compatible ENISA SRP Charges utiles structurées pour la plateforme de signalement unique ENISA. Intégration dès le premier jour lors du lancement de l'API.

Historique des soumissions Piste d'audit complète de toutes les notifications générées et du suivi des statuts

Gestion des incidents Flux de travail distinct pour les incidents graves (Art. 14(3)). Rapport final sous 30 jours contre 14 jours pour les vulnérabilités.

Rapports PDF et alertes de dépassement PDFs d'alerte précoce, de rapport détaillé et de rapport final. Compte à rebours sur le tableau de bord à l'approche des délais.

Coordination CSIRT Notification simultanée à l'ENISA et à votre CSIRT national selon l'Article 14.

Matériel et firmware

Conçu pour les produits comportant des composants matériels

Les machines, les systèmes embarqués et les objets connectés ont besoin de plus que de simples SBOM logiciels. CRA Evidence prend en charge l'ensemble du cycle de vie des produits matériels.

Suivi des HBOM Hardware Bill of Materials avec 15 types de composants, dont les capteurs, les actionneurs et les microcontrôleurs.

Analyse SBOM du firmware Importez une SBOM de votre firmware ou de vos composants matériels et vérifiez automatiquement l'ensemble du logiciel embarqué pour détecter les CVE connus.

Workflow de marquage CE Suivez l'évaluation de conformité avec une piste d'audit complète. Générez les déclarations UE de conformité.

Étiquetage physique Passeports numériques de produit avec codes QR pour les produits matériels.

En savoir plus sur la conformité CRA pour les fabricants de machines

Conçu pour chaque rôle CRA

Tableaux de bord Fabricant, Importateur et Distributeur

Le CRA impose des obligations différentes aux fabricants (Art. 13), importateurs (Art. 19) et distributeurs (Art. 20). Chaque rôle dispose de son propre espace de travail avec les flux de travail réellement pertinents.

Gestion des produits et versions

Produits organisés par catégorie CRA : Par défaut, Important Classe I/Classe II, Critique. Chaque version suit son état de publication, son environnement et son niveau de rétention.

Pipeline d'artefacts complet

Téléchargez SBOM, HBOM et VEX par version. La notation de qualité et l'analyse des vulnérabilités se lancent automatiquement.

Gestion des vulnérabilités et des incidents

Suivi des CVE, flux de remédiation, notifications ENISA. Le tableau de bord sécurité classe tout par score EPSS et signale les entrées CISA KEV.

Génération de dossiers techniques

L'export Annex VII regroupe tout dans un ZIP : SBOMs lisibles par machine, checklists de conformité, rapports d'attribution et déclarations de conformité. Prêt pour les audits automatisés de surveillance du marché.

Notifications aux clients

Système de notification des vulnérabilités pour les clients en aval. Modèles multilingues avec gestion des listes de diffusion.

Badges de confiance

Badges de confiance de conformité intégrables sur vos pages produit. Lien vers la vérification publique de votre statut de conformité CRA.

Suivi de l'évaluation de conformité

Suivez votre parcours d’évaluation selon la catégorie de produit : auto-évaluation (Par défaut), contrôle interne (Important Classe I) ou évaluation par un tiers (Important Classe II, Critique).

Digital Product Passports

Générez des Passeports Numériques de Produit dynamiques et accessibles publiquement pour les produits logiciels et matériels. Codes QR pour l'étiquetage physique, JSON-LD et export PDF — multilingue et lisible par machine.

Documents multilingues

Générez de la documentation technique, des rapports de conformité et des Digital Product Passports dans 8 langues de l'UE : anglais, espagnol, allemand, français, italien, polonais, néerlandais et suédois.

Flux de vérification Art. 19

Liste de contrôle étape par étape couvrant les exigences de l'Art. 19 : vérification du marquage CE, revue Annex II, identification de l'importateur sur le produit, déclaration de conformité UE collectée, validation finale.

Registre des fabricants

Suivez vos fabricants : contacts, représentants dans l'UE, métadonnées CVD/CSAF. Définissez la fréquence de re-vérification pour chacun.

Décisions d'arrêt de distribution

Un problème détecté ? Bloquez le produit. Enregistrez votre justification, notifiez les parties prenantes et signalez-le à l'autorité. Tout est tracé.

Déclencheurs de re-vérification

Nouvelle vulnérabilité détectée ? Mise à jour majeure publiée ? Date de re-vérification approchant ? Vous recevrez une alerte pour re-vérifier.

Cloner les vérifications

Vous vérifiez une nouvelle version du même produit ? Clonez la vérification précédente. L'état de la liste de contrôle et les données du fabricant sont conservés.

Tableau de bord des vérifications

Voyez en un coup d'œil où en sont les choses : combien de produits sont vérifiés, en attente, bloqués ou à re-vérifier.

Liste de contrôle de diligence Art. 20

Tout ce que l'Art. 20 exige, sous forme de liste de contrôle : identification et traçabilité du produit, marquage CE, déclaration UE, contacts du fabricant, détection des anomalies.

Téléchargement des preuves CE

Téléchargez vos preuves de marquage CE : photos, numérisations, certificats. Les contrôles de type et de taille de fichier sont intégrés, et tout est journalisé.

Certificats de vérification

Générez des certificats PDF attestant de la conformité de diligence. Inclut les détails du distributeur, le périmètre, la date et un numéro de vérification unique.

Actions d'arrêt de distribution

Un problème ? Arrêtez la distribution. La justification est enregistrée, et les autorités ainsi que les fabricants sont notifiés.

Vue du portefeuille

Consultez toutes vos vérifications en un seul endroit. Filtrez par statut, produit ou date de complétion pour identifier ce qui nécessite votre attention.

Progression de la conformité

Barres de progression visuelles par produit. Vous voyez en un coup d'œil l'avancement de chaque vérification et ce qu'il reste à faire.

CI/CD et automatisation

S'intègre dans votre pipeline de build

Un CLI et une API REST sont disponibles. Téléchargez des SBOMs, déclenchez des analyses et contrôlez les publications depuis le CI. Compatible avec GitHub Actions, GitLab CI ou tout outil capable d'exécuter une commande shell.

Outil CLI Téléchargez SBOM/HBOM/VEX, analysez, vérifiez le statut, gérez les publications et comparez les versions depuis le terminal.

Seuils d'échec par sévérité Échec des builds CI lorsque des vulnérabilités critiques ou élevées sont détectées. Configurable par pipeline.

Clés API à périmètre défini Permissions granulaires : sbom:read, sbom:write, vuln:read, vuln:write, et plus encore. Avec limitation de débit et journalisation.

Webhooks Recevez des événements pour les découvertes de vulnérabilités, les alertes d'échéances ENISA et les autres événements de conformité.

Moteur de politiques Règles de politique sous forme de code pour les licences, les seuils de vulnérabilité, les scores de qualité et les composants bloqués. Périmètre du global à la version.

Points de validation des publications Flux de validation configurables avant la publication des versions. Points de contrôle manuels et vérifications automatisées des conditions.

# Analyser une image Docker et télécharger le SBOM
$ docker run --rm \
-e CRA_EVIDENCE_API_KEY="cra_xxx" \
-v /var/run/docker.sock:/var/run/docker.sock \
craevidence/cli:latest \
upload-sbom \
--product my-app \
--version 2.1.0 \
--image my-app:2.1.0 \
--scan --fail-on high

Upload successful!

Product       my-app (created new)
Version       2.1.0 (created new)
Components    142
Quality Score 87%

Vulnerabilities
  Critical    0
  High        0
  Medium      3
  Low         1

GitHub Actions GitLab CI Jenkins Tout CI

Voir le guide complet d'intégration CI/CD

Intégrations

Compatible avec les outils que vous utilisez déjà

Jira

Créez directement des tickets pour les vulnérabilités

Slack

Alertes en temps réel sur les vulnérabilités et les échéances

GitHub

Synchronisation des avis de sécurité et intégration des dépôts

Dependency-Track

Importez des SBOMs depuis des instances existantes

Microsoft Teams

Notifications dans vos canaux Teams

Échéances ENISA

Rappels automatisés à 24h, 72h, 14j/30j

Portail fournisseurs

Partage de SBOM avec vos clients avec contrôle d'accès

Webhook générique

Envoyez des événements vers n'importe quel endpoint HTTP

Sécurité et confiance

Conçu pour que vos données de conformité soient en sécurité

Contrôle d'accès

Accès basé sur les rôles

Rôles Owner, Admin, Member, Viewer. Clés API à périmètre défini avec permissions granulaires.

SSO et MFA

SAML 2.0, OAuth Google et Microsoft, provisionnement SCIM. Authentification multi-facteurs TOTP.

Protection des données

Chiffrement

AES-256 au repos, TLS 1.3 en transit. Hachage de mots de passe Argon2id.

Multi-tenant

Isolation complète des tenants. Chaque requête respecte les limites de l'organisation.

Observabilité

Journalisation d'Audit

Traçabilité complète de toutes les actions. Piste d'audit interrogeable avec export CSV.

Limitation de débit

Limitation de débit par fenêtre glissante sur les endpoints de connexion, d'API et de téléchargement.

Conformité

Sécurité du contenu

En-têtes CSP stricts, protection CSRF, assainissement HTML et HSTS.

Conservation sur 10 ans

Données de production conservées pendant 10 ans conformément à l'Art. 13 du CRA. Conservation par niveau.

Outils Gratuits

Vous ne savez pas si le CRA s'applique à vous ?

Identifiez vos obligations avant de vous inscrire. Ces outils sont gratuits et ne nécessitent pas de compte.

Vérificateur d'Applicabilité du CRA Assistant en 11 questions pour déterminer si le Cyber Resilience Act s'applique à votre produit. Couvre les exemptions sectorielles, les exigences de connectivité et la classification des produits.

Quiz des rôles CRA Déterminez si vous êtes fabricant, importateur ou distributeur au sens du CRA. Chaque rôle a des obligations différentes.

Résultats partageables Partagez vos résultats avec vos collègues ou votre équipe juridique via un lien unique. Disponible dans les 8 langues européennes.

Essayez le vérificateur d'applicabilité CRA Essayez le quiz CRA gratuit

Aucune inscription requise. Environ 2 minutes.

CRA Evidence Platform

Vos SBOMs, validés et versionnés

Score de qualité

Arbre des dépendances

Comparaison de versions

Vérification des licences

Détectez de nouveaux CVE en quelques minutes, pas en jours

Dossiers de l'Annexe VII, prêts à la demande

Export du dossier technique

Déclaration UE de conformité

Rapports de conformité

Fiche de données de sécurité

Certificats

Documents multilingues

Conformité à l'Annex I

Signature des artefacts

Suivi de la période de support

Ne manquez plus jamais une échéance ENISA

Alerte précoce

Notification détaillée

Rapport final

Conçu pour les produits comportant des composants matériels

Tableaux de bord Fabricant, Importateur et Distributeur

Gestion des produits et versions

Pipeline d'artefacts complet

Gestion des vulnérabilités et des incidents

Génération de dossiers techniques

Notifications aux clients

Badges de confiance

Suivi de l'évaluation de conformité

Digital Product Passports

Documents multilingues

Flux de vérification Art. 19

Registre des fabricants

Décisions d'arrêt de distribution

Déclencheurs de re-vérification

Cloner les vérifications

Tableau de bord des vérifications

Liste de contrôle de diligence Art. 20

Téléchargement des preuves CE

Certificats de vérification

Actions d'arrêt de distribution

Vue du portefeuille

Progression de la conformité

S'intègre dans votre pipeline de build

Compatible avec les outils que vous utilisez déjà

Jira

Slack

GitHub

Dependency-Track

Microsoft Teams

Échéances ENISA

Portail fournisseurs

Webhook générique

Conçu pour que vos données de conformité soient en sécurité

Accès basé sur les rôles

SSO et MFA

Chiffrement

Multi-tenant

Journalisation d'Audit

Limitation de débit

Sécurité du contenu

Conservation sur 10 ans

Vous ne savez pas si le CRA s'applique à vous ?

Voyez-le en action : générez votre premier SBOM en quelques minutes