Requisiti SBOM secondo il Cyber Resilience Act dell'UE: Guida Pratica

La distinta base del software (SBOM) è diventata una pietra angolare della moderna sicurezza della catena di approvvigionamento del software. Secondo il Cyber Resilience Act dell'UE (CRA), gli SBOM non sono solo una best practice: sono un requisito normativo. Questa guida spiega cosa devono sapere i produttori sulla conformità SBOM secondo il CRA.

Cosa dice il CRA sugli SBOM

Il CRA fa riferimento agli SBOM in diverse aree chiave:

Allegato I: Requisiti Essenziali

"I produttori identificano e documentano le vulnerabilità e i componenti contenuti nei prodotti, anche redigendo una distinta base del software in un formato di uso comune e leggibile da una macchina."

Questo significa:

• Gli SBOM sono obbligatori, non facoltativi
• Devono essere in formato leggibile da macchina (non PDF o fogli di calcolo)
• Devono coprire tutti i componenti, comprese le dipendenze transitive

Allegato VII: Documentazione Tecnica

Il fascicolo tecnico deve includere informazioni SBOM che consentano:

• Tracciamento delle vulnerabilità a livello di componente
• Identificazione dei fornitori
• Verifica della conformità delle licenze
• Pianificazione del fine vita

Formati SBOM Accettati

Il CRA richiede formati "di uso comune e leggibili da macchina". In pratica, questo significa:

Entrambi i formati sono accettati, ma CycloneDX è sempre più preferito per i casi d'uso di sicurezza grazie al suo supporto nativo per:

• Vulnerability Exploitability eXchange (VEX)
• Avvisi di sicurezza
• Grafi delle dipendenze

BSI TR-03183: Lo Standard Tedesco

L'Ufficio federale tedesco per la sicurezza informatica (BSI) ha pubblicato TR-03183, che fornisce requisiti dettagliati di qualità SBOM che vanno oltre il minimo del CRA. I requisiti chiave includono:

Campi Obbligatori

• Nome e versione del componente
• Informazioni su fornitore/produttore
• Identificatori univoci (PURL, CPE)
• Relazioni di dipendenza
• Informazioni sulla licenza

Indicatori di Qualità

TR-03183 definisce livelli di qualità:

Sebbene TR-03183 sia uno standard tedesco, sta diventando il punto di riferimento de facto per la conformità CRA in tutta l'UE.

Errori SBOM Comuni da Evitare

1. Alberi delle Dipendenze Incompleti

Molti strumenti catturano solo le dipendenze dirette. Il CRA richiede dipendenze transitive - componenti da cui dipendono le tue dipendenze.

Il Tuo Prodotto
├── Libreria A (diretta) ✓
│   ├── Libreria B (transitiva) ← Spesso mancante!
│   └── Libreria C (transitiva) ← Spesso mancante!
└── Libreria D (diretta) ✓

2. Informazioni sulla Versione Mancanti

Un SBOM senza informazioni accurate sulla versione è quasi inutile per la corrispondenza delle vulnerabilità. Assicurati che ogni componente abbia:

• Numeri di versione esatti (non intervalli)
• Valori hash per i componenti binari
• Identificatori PURL dove possibile

3. SBOM Obsoleti

Un SBOM generato al momento della build ma mai aggiornato crea un falso senso di sicurezza. Implementa:

• Integrazione CI/CD per la generazione automatica di SBOM
• Controllo versione per gli artefatti SBOM
• Rilevamento regolare delle deviazioni tra le build

4. Ignorare Firmware e Hardware

Per i prodotti con componenti embedded, ricorda di includere:

• Versioni e componenti del firmware
• Distinta base dell'hardware (HBOM) dove applicabile
• Componenti bootloader e kernel

Gestione del Ciclo di Vita SBOM

Una pratica SBOM conforme richiede una gestione continua:

Generazione

Codice Sorgente → Sistema di Build → Generazione SBOM → Validazione

Integra la generazione SBOM nella tua pipeline CI/CD utilizzando strumenti come:

• Syft (CycloneDX/SPDX)
• Trivy (CycloneDX)
• cdxgen (CycloneDX)

Validazione

Prima della pubblicazione, valida il tuo SBOM:

• Conformità allo schema (CycloneDX/SPDX valido)
• Completezza (tutti i componenti inclusi)
• Accuratezza (le versioni corrispondono alla realtà)

Archiviazione e Accesso

Gli SBOM devono essere:

• Archiviati in modo sicuro con controlli di accesso
• Conservati per il periodo di supporto del prodotto (minimo 5 anni secondo il CRA)
• Accessibili per la valutazione di conformità
• Disponibili per i clienti a valle (per prodotti B2B)

Monitoraggio Continuo

Collega il tuo SBOM ai database delle vulnerabilità:

• NVD (National Vulnerability Database)
• OSV (Open Source Vulnerabilities)
• GitHub Advisory Database
• CISA KEV (vulnerabilità sfruttate note)

Passi Pratici per Iniziare

1. Verifica il tuo stato attuale: Generi SBOM oggi? Quale formato? Quale copertura?

2. Scegli il tuo formato: CycloneDX per focus sulla sicurezza, SPDX per conformità licenze (o entrambi)

3. Automatizza la generazione: Integra in CI/CD, non processi manuali

4. Valida la qualità: Verifica rispetto ai requisiti TR-03183

5. Implementa il monitoraggio: Collega gli SBOM alla scansione delle vulnerabilità

6. Pianifica gli aggiornamenti: Stabilisci processi per la manutenzione SBOM

Come CRA Evidence Aiuta

CRA Evidence fornisce una gestione SBOM completa:

• Upload e Validazione: Supporto per CycloneDX e SPDX con punteggio di qualità TR-03183
• Scansione Vulnerabilità: Corrispondenza automatica con NVD, OSV e altri database
• Tracciamento Versioni: Storico SBOM e rilevamento deviazioni tra versioni del prodotto
• Export: Includi SBOM validati nel tuo fascicolo tecnico Allegato VII

Impostare correttamente la tua pratica SBOM è fondamentale per la conformità CRA. Inizia a costruire queste capacità ora per essere pronto per la scadenza del 2027.

Guide Correlate

Generazione: Scopri come automatizzare la creazione di SBOM nella nostra guida alla generazione SBOM.

Qualità: Comprendi i requisiti di qualità SBOM nella nostra guida BSI TR-03183.

VEX: Abbina il tuo SBOM ai dati sulle vulnerabilità utilizzando i documenti VEX.

Fascicolo Tecnico: Scopri come gli SBOM si inseriscono nel fascicolo tecnico CRA (Allegato VII).

Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, consulta un consulente legale qualificato.