Quali formati SBOM supporta CRA Evidence?

CRA Evidence supporta i formati CycloneDX (JSON e XML) e SPDX (JSON, tag-value e RDF). Gli SBOM possono essere caricati tramite l'interfaccia web, la REST API o lo strumento CLI CI/CD.

Come funziona la scansione delle vulnerabilità?

CRA Evidence scansiona i componenti del tuo SBOM contro più database — NVD tramite Trivy e OSV.dev (coprendo avvisi GitHub, Go, Rust, PyPI). Ogni risultato viene arricchito con punteggi di probabilità di exploit EPSS di FIRST.org e incrociato con il catalogo CISA KEV delle vulnerabilità note sfruttate. Le versioni di produzione vengono riscansionate automaticamente quando i database delle vulnerabilità si aggiornano. I risultati che respingi o sopprimi generano automaticamente bozze di dichiarazioni VEX per la revisione in batch e l'esportazione CycloneDX.

Cos'è la segnalazione ENISA Articolo 14?

L'Articolo 14 del Cyber Resilience Act richiede ai produttori di segnalare le vulnerabilità attivamente sfruttate all'ENISA e ai CSIRT nazionali entro scadenze rigorose: avviso preventivo entro 24 ore, report dettagliato entro 72 ore e report finale entro 14 giorni. CRA Evidence fornisce flussi di lavoro strutturati e generazione di report per questi obblighi.

CRA Evidence supporta tutti i ruoli di operatore economico del CRA?

Sì. CRA Evidence fornisce flussi di lavoro dedicati per tutti e tre i ruoli CRA: Produttori (strumenti di conformità completi), Importatori (verifica e due diligence) e Distributori (controlli di dovuta diligenza e documentazione). Ogni ruolo dispone di un workspace personalizzato con funzionalità specifiche per ruolo.

CRA Evidence può integrarsi con le pipeline CI/CD?

Sì. CRA Evidence fornisce uno strumento CLI e una REST API per l'integrazione CI/CD. Puoi caricare SBOM, verificare lo stato di conformità CRA e bloccare i rilasci in base alle soglie di vulnerabilità direttamente nelle tue pipeline GitHub Actions, GitLab CI o Jenkins.

Funzionalità | CRA Evidence

Gestione degli artefatti

I Vostri SBOM, validati e versionati

Carica un file CycloneDX o SPDX. Lo validiamo secondo i criteri di qualità BSI TR-03183, calcoliamo il punteggio di completezza e conserviamo registrazioni pronte per l'audit per ogni versione del prodotto.

CycloneDX e SPDX Il formato viene rilevato automaticamente al caricamento. Validazione dello schema CycloneDX 1.6, parsing SPDX 2.2+.

Punteggio di qualità TR-03183 Metriche ponderate per completezza di PURL, hash, fornitore, licenza e versione.

Supporto HBOM e VEX Estrazione di Hardware Bill of Materials e Vulnerability Exploitability eXchange da CycloneDX.

Visualizzazione del grafo delle dipendenze Albero dei componenti interattivo con Mermaid.js con espansione delle dipendenze transitive e navigazione al clic.

Confronto versioni e rilevamento delle deviazioni Confrontate gli SBOM tra le versioni. Rilevate componenti nuovi, rimossi e modificati.

Creazione VEX Create e pubblicate dichiarazioni VEX (Vulnerability Exploitability eXchange) direttamente nell'applicazione. Esportazione in formato CycloneDX VEX.

CycloneDX SPDX HBOM VEX SARIF

Punteggio di qualità

Valutazione automatica secondo lo standard BSI TR-03183 con raccomandazioni di miglioramento.

Albero delle dipendenze

Visualizzate le dipendenze dirette e transitive con rilevamento delle dipendenze circolari.

Confronto versioni

Confrontate gli SBOM tra le versioni. Tracciate cosa è cambiato e perché.

Verifica delle licenze

Identificate combinazioni di licenze problematiche nei Vostri componenti.

Scansione delle vulnerabilità

Trovate le vulnerabilità prima delle autorità di regolamentazione

Ogni SBOM viene scansionato contro più database di vulnerabilità — NVD tramite Trivy e OSV.dev (che aggrega gli avvisi di sicurezza di GitHub, Go, Rust e PyPI). Ogni risultato viene arricchito con EPSS (Exploit Prediction Scoring System) di FIRST.org per stimare la probabilità reale di sfruttamento nei prossimi 30 giorni — così correggi ciò che gli attaccanti stanno effettivamente prendendo di mira, non solo ciò che ha il punteggio CVSS più alto. Le versioni di produzione e staging vengono riscansionate automaticamente quando i database delle vulnerabilità si aggiornano, e tutti i risultati vengono incrociati con il catalogo CISA Known Exploited Vulnerabilities.

Tracciamento delle correzioni Ciclo di vita in cinque fasi per vulnerabilità: apertura, correzione, verifica, rilascio. Tracciamento dello stato per ogni versione interessata.

Gestione delle soppressioni Sopprimete i falsi positivi con motivazione, date di scadenza e flussi di approvazione.

Analisi di raggiungibilità Contrassegnate i componenti come raggiungibili o non raggiungibili per dare priorità a ciò che conta davvero.

Advisory CSAF Ciclo di vita completo degli advisory: importazione, validazione, pubblicazione. Dalla bozza alla versione finale con diff semantico. Conforme all'Art. 11 del CRA.

Rilevamento multi-sorgente Riferimento incrociato Trivy + OSV.dev. Se uno scanner non rileva un CVE, l'altro lo intercetta. La deduplicazione bidirezionale garantisce l'assenza di duplicati.

Flusso di lavoro VEX automatizzato Triage decisions auto-generate draft VEX statements — suppressions, dismissals, and remediation status changes all feed the VEX bridge. Batch review and publish with one click. Export CycloneDX 1.6-compliant VEX per version.

Monitoraggio della copertura VEX Sappi esattamente quale percentuale delle tue vulnerabilità valutate ha dichiarazioni VEX pubblicate. La metrica di copertura collega le decisioni di soppressione, lo stato di rimedio e la creazione VEX in un unico numero pronto per l'audit.

Cosa succede quando caricate

Dashboard degli eventi di sicurezza di CRA Evidence che mostra il tracciamento di vulnerabilità e incidenti con scadenze di notifica ENISA, livelli di gravità e analisi dell'impatto per prodotto

Clicca per ingrandire

Importazione SARIF Analisi del firmware Supporto VEX OSV.dev Punteggio EPSS

Scanner solo NVD vs. CRA Evidence

Funzionalità	Solo NVD	CRA Evidence
Coverage	CVE generici	NVD + GitHub + Go + Rust + PyPI
Intelligence sugli exploit	CVSS (solo gravità)	EPSS (probabilità reale)
Avvisi CISA KEV		Automatic
Frequenza di aggiornamento	Giornaliera	Continua (sincronizzata con OSV.dev)
Corrispondenza versioni per ecosistema	Basato su CPE	npm, Maven, Go, Cargo, NuGet, Gem
Supporto VEX	Esportazione manuale (se presente)	Auto-bozza dal triage → Revisione → Pubblicare

Documentazione tecnica

Documentazione Tecnica Realmente Pronta per il CRA

Articolo 13 richiede di conservare la documentazione tecnica per 10 anni dall'immissione di un prodotto sul mercato. Generiamo i pacchetti Allegato VII, i certificati e i report di conformità affinché siate pronti quando un'autorità di sorveglianza del mercato si presenterà.

Esportazione file tecnico

Un ZIP con tutto: manifesto leggibile dalla macchina (JSON), SBOM (CycloneDX/SPDX), attestazioni, checklist di conformità e report di attribuzione. Leggibile dall'uomo e dalla macchina, strutturato secondo l'Annex VII.

Dichiarazione UE di conformità

Genera documenti di Dichiarazione di Conformità UE con formattazione corretta, versionamento e tracciamento marcatura CE.

Report di conformità

PDF o HTML. Riepilogo delle vulnerabilità, inventario dei componenti, punteggi di qualità e stato delle correzioni in un unico report da consegnare agli auditor.

Scheda dati di sicurezza

Procedura guidata per la scheda di sicurezza Annex II. Redazione, validazione e pubblicazione. Esportazione in PDF, Markdown o HTML.

Certificati

Ciclo di vita dei certificati: bozza, emissione, revoca. I certificati emessi sono immutabili con generazione PDF scaricabile.

Documenti multilingue

Generate documenti in 6 lingue: inglese, spagnolo, tedesco, francese, italiano, polacco.

Conformità all'Annex I

Valutate il Vostro prodotto rispetto a tutti i 20 requisiti essenziali di cybersicurezza dell'Annex I Parte I del CRA. Tracciate quali avete soddisfatto e quali mancano.

Firma degli artefatti

Firma basata su Sigstore per SBOM e artefatti. Modalità keyless e con chiave, con verifica della firma per l'integrità della catena di fornitura.

Tracciamento del periodo di supporto

Definite e tracciate il periodo minimo obbligatorio di supporto di 5 anni ai sensi dell'Art. 13(5) del CRA. Avvisi quando i prodotti si avvicinano alla fine del supporto.

Notifiche ENISA

Rispetta Ogni Scadenza di Segnalazione ENISA

Il Articolo 14 del CRA richiede di notificare a ENISA le vulnerabilità attivamente sfruttate e gli incidenti gravi. Due percorsi separati con scadenze diverse. CRA Evidence gestisce entrambi con modelli strutturati e monitoraggio del conto alla rovescia.

24h

Avviso Preventivo

Notifica iniziale della vulnerabilità entro 24 ore dalla scoperta. ID CVE, prodotti interessati e valutazione della complessità dell'attacco.

72h

Notifica dettagliata

Analisi tecnica con tempistica di correzione, soluzioni temporanee e valutazione d'impatto ampliata entro 72 ore.

14d

Report finale

Conferma della risoluzione con dettagli sulla correzione definitiva, tempistica di distribuzione e lezioni apprese. 14 giorni per le vulnerabilità, 30 giorni per gli incidenti.

Promemoria scadenze Avvisi automatici prima della scadenza di ogni obbligo

Pronto per ENISA SRP Payload strutturati per la Piattaforma di Segnalazione Unica ENISA. Integrazione dal primo giorno al lancio dell'API.

Storico delle segnalazioni Tracciabilità completa di tutte le notifiche generate e monitoraggio dello stato

Gestione degli incidenti Flusso di lavoro separato per incidenti gravi (Art. 14(3)). Report finale entro 30 giorni rispetto ai 14 giorni per le vulnerabilità.

Report PDF e avvisi di scadenza PDF di avviso preventivo, report dettagliato e report finale. Conto alla rovescia nella dashboard quando si avvicinano le scadenze.

Coordinamento CSIRT Notifica simultanea a ENISA e al tuo CSIRT nazionale ai sensi dell'Articolo 14.

Progettato per ogni ruolo CRA

Dashboard per Produttori, Importatori e Distributori

Il CRA impone obblighi diversi a produttori (Art. 13), importatori (Art. 19) e distributori (Art. 20). Ogni ruolo dispone del proprio workspace con i flussi di lavoro effettivamente pertinenti.

Gestione prodotti e versioni

Prodotti organizzati per categoria CRA: Predefinito, Importante Classe I/Classe II, Critico. Ogni versione registra il suo stato di rilascio, l’ambiente e il livello di conservazione.

Pipeline completa degli artefatti

Caricate SBOM, HBOM e VEX per ogni versione. Il punteggio di qualità e la scansione delle vulnerabilità si attivano automaticamente.

Gestione vulnerabilità e incidenti

Tracciamento CVE, flussi di rimedio, notifiche ENISA. La dashboard di sicurezza classifica tutto per punteggio EPSS e segnala le voci CISA KEV.

Generazione del fascicolo tecnico

L'export Annex VII raggruppa tutto in un ZIP: SBOM leggibili dalla macchina, checklist di conformità, report di attribuzione e dichiarazioni di conformità. Pronto per gli audit automatizzati di sorveglianza del mercato.

Notifiche ai clienti

Sistema di notifica delle vulnerabilità per i clienti a valle. Modelli multilingue con gestione delle liste di distribuzione.

Badge di fiducia

Badge di conformità integrabili nelle Vostre pagine prodotto. Collegamento alla verifica pubblica del Vostro stato di conformità CRA.

Tracciamento della valutazione di conformità

Seguite il vostro percorso di valutazione in base alla categoria di prodotto: autovalutazione (Predefinito), controllo interno (Importante Classe I) o valutazione da parte di terzi (Importante Classe II, Critico).

Flusso di verifica Art. 19

Checklist passo dopo passo che copre quanto richiesto dall'Art. 19: verifica della marcatura CE, revisione Annex II, identificazione dell'importatore sul prodotto, Dichiarazione di Conformità UE raccolta, approvazione finale.

Registro dei produttori

Tenete traccia dei Vostri produttori: contatti, rappresentanti UE, metadati CVD/CSAF. Impostate la frequenza di riverifica per ciascuno.

Decisioni di blocco distribuzione

Riscontrato un problema? Bloccate il prodotto. Registrate la motivazione, notificate le parti interessate e segnalate all'autorità. Tutto viene tracciato.

Trigger di riverifica

Nuova vulnerabilità trovata? Aggiornamento importante rilasciato? Data di revisione in avvicinamento? Riceverete un avviso per la riverifica.

Clonazione delle verifiche

State verificando una nuova versione dello stesso prodotto? Clonate la verifica precedente. Lo stato della checklist e i dati del produttore vengono riportati.

Dashboard di verifica

Visualizzate a colpo d'occhio la situazione complessiva: quanti prodotti sono verificati, in attesa, bloccati o in scadenza per la riverifica.

Checklist di diligenza Art. 20

Tutto ciò che l'Art. 20 richiede, in una checklist: identificazione e tracciabilità del prodotto, marcatura CE, dichiarazione UE, contatti del produttore, rilevamento delle anomalie.

Caricamento evidenze CE

Caricate le Vostre evidenze di marcatura CE: foto, scansioni, certificati. I controlli sul tipo e sulla dimensione dei file sono integrati e tutto viene registrato nell'audit log.

Certificati di verifica

Generate certificati PDF che attestano la conformità alla diligenza dovuta. Includono i dettagli del distributore, l'ambito, la data e un numero di verifica univoco.

Azioni di blocco distribuzione

Qualcosa non va? Bloccate la distribuzione. La motivazione viene registrata e le autorità e i produttori vengono notificati.

Vista del portafoglio

Visualizzate tutte le Vostre verifiche in un unico punto. Filtrate per stato, prodotto o data di completamento per trovare ciò che richiede attenzione.

Avanzamento della conformità

Barre di avanzamento visive per ogni prodotto. Potete vedere a colpo d'occhio a che punto è ogni verifica e cosa manca.

CI/CD e automazione

Si integra nella Vostra pipeline di build

Sono disponibili un CLI e un'API REST. Caricate SBOM, avviate scansioni e controllate i rilasci dal CI. Funziona con GitHub Actions, GitLab CI o qualsiasi strumento in grado di eseguire comandi shell.

Strumento CLI Caricate SBOM/HBOM/VEX, eseguite scansioni, verificate lo stato, gestite i rilasci e confrontate le versioni dal terminale.

Soglie di blocco per gravità Blocco della build CI quando vengono rilevate vulnerabilità critiche o alte. Configurabile per pipeline.

Chiavi API con ambito Permessi granulari: sbom:read, sbom:write, vuln:read, vuln:write e altri. Con limiti di frequenza e tracciamento audit.

Webhooks Ricevete eventi per nuove vulnerabilità scoperte, avvisi di scadenza ENISA e altri eventi di conformità.

Motore delle policy Regole policy-as-code per licenze, soglie di vulnerabilità, punteggi di qualità e componenti bloccati. Ambito dal globale alla singola versione.

Gate di approvazione al rilascio Flussi di approvazione configurabili prima del rilascio delle versioni. Gate manuali e verifiche automatiche delle condizioni.

# Analizza un'immagine Docker e carica l'SBOM
$ docker run --rm \
-e CRA_EVIDENCE_API_KEY="cra_xxx" \
-v /var/run/docker.sock:/var/run/docker.sock \
craevidence/cli:latest \
upload-sbom \
--product my-app \
--version 2.1.0 \
--image my-app:2.1.0 \
--scan --fail-on high

Upload successful!

Product       my-app (created new)
Version       2.1.0 (created new)
Components    142
Quality Score 87%

Vulnerabilities
  Critical    0
  High        0
  Medium      3
  Low         1

GitHub Actions GitLab CI Jenkins Qualsiasi CI

Vedi la guida completa all'integrazione CI/CD

Integrazioni

Funziona con gli strumenti che già utilizzate

Jira

Create issue per le vulnerabilità direttamente

Slack

Avvisi in tempo reale su vulnerabilità e scadenze

GitHub

Sincronizzazione degli advisory di sicurezza e integrazione con i repository

Dependency-Track

Importate SBOM da istanze esistenti

Microsoft Teams

Notifiche nei Vostri canali Teams

Scadenze ENISA

Promemoria automatici a 24h, 72h, 14g/30g

Portale fornitori

Condivisione SBOM con i clienti con controllo degli accessi

Webhook generico

Inviate eventi a qualsiasi endpoint HTTP

Sicurezza e affidabilità

Progettato per essere affidabile con i Vostri dati di conformità

Controllo degli accessi

Accesso basato sui ruoli

Ruoli Owner, Admin, Member, Viewer. Chiavi API con ambito e permessi granulari.

SSO e MFA

SAML 2.0, OAuth Google e Microsoft, provisioning SCIM. Autenticazione multifattore TOTP.

Protezione dei dati

Crittografia

AES-256 per i dati a riposo, TLS 1.3 in transito. Hashing delle password con Argon2id.

Multi-tenancy

Isolamento completo dei tenant. Ogni query rispetta i confini dell'organizzazione.

Osservabilità

Registrazione di audit

Tracciabilità completa di tutte le azioni. Audit trail interrogabile con esportazione CSV.

Limitazione della frequenza

Limitazione della frequenza a finestra mobile sugli endpoint di login, API e caricamento.

Conformità

Sicurezza dei contenuti

Header CSP rigorosi, protezione CSRF, sanitizzazione HTML e HSTS.

Conservazione 10 anni

Dati di produzione conservati per 10 anni ai sensi dell'Art. 13 del CRA. Conservazione basata sui livelli.

Strumenti Gratuiti

Non siete sicuri che il CRA si applichi a Voi?

Individuate i Vostri obblighi prima di sottoscrivere qualsiasi cosa. Questi strumenti sono gratuiti e non richiedono un account.

Verificatore Applicabilità CRA Procedura guidata di 11 domande per determinare se il Cyber Resilience Act si applica al Vostro prodotto. Copre le esenzioni settoriali, i requisiti di connettività e la classificazione del prodotto.

Quiz sui ruoli CRA Scoprite se siete un produttore, un importatore o un distributore ai sensi del CRA. Ruoli diversi hanno obblighi diversi.

Risultati condivisibili Condividete i risultati della Vostra valutazione con colleghi o team legali tramite URL univoco. Disponibile in tutte e 6 le lingue.

Provate la verifica di applicabilità CRA Provate il quiz CRA gratuito

Nessuna registrazione richiesta. Richiede circa 2 minuti.

Piattaforma di conformità CRA per produttori, importatori e distributori.