Quali formati SBOM supporta CRA Evidence?

CRA Evidence supporta i formati CycloneDX (JSON e XML) e SPDX (JSON, tag-value e RDF). Gli SBOM possono essere caricati tramite l'interfaccia web, la REST API o lo strumento CLI CI/CD.

Come funziona la scansione delle vulnerabilità?

CRA Evidence operates its own Vulnerability Knowledge Base, synced every 15 minutes from NVD/cvelistV5, OSV.dev (covering GitHub, Go, Rust, PyPI advisories), CISA KEV, and EPSS scoring. CRA Evidence vulnerability scanner runs as an independent verification layer. Each finding is enriched with EPSS exploit probability scores from FIRST.org and cross-referenced with the CISA KEV catalog for known-exploited vulnerabilities. Production versions are rescanned automatically when vulnerability databases update. Findings that you dismiss or suppress automatically generate draft VEX statements for batch review and CycloneDX export.

Cos'è la segnalazione ENISA Articolo 14?

L'Articolo 14 del Cyber Resilience Act richiede ai produttori di segnalare le vulnerabilità attivamente sfruttate all'ENISA e ai CSIRT nazionali entro scadenze rigorose: avviso preventivo entro 24 ore, report dettagliato entro 72 ore e report finale entro 14 giorni. CRA Evidence fornisce flussi di lavoro strutturati e generazione di report per questi obblighi.

CRA Evidence supporta tutti i ruoli di operatore economico del CRA?

Sì. CRA Evidence fornisce flussi di lavoro dedicati per tutti e tre i ruoli CRA: Produttori (strumenti di conformità completi), Importatori (verifica e due diligence) e Distributori (controlli di dovuta diligenza e documentazione). Ogni ruolo dispone di un workspace personalizzato con funzionalità specifiche per ruolo.

CRA Evidence può integrarsi con le pipeline CI/CD?

Sì. CRA Evidence fornisce uno strumento CLI e una REST API per l'integrazione CI/CD. Puoi caricare SBOM, verificare lo stato di conformità CRA e bloccare i rilasci in base alle soglie di vulnerabilità direttamente nelle tue pipeline GitHub Actions, GitLab CI o Jenkins.

Piattaforma di Conformità CRA | SBOM, VEX e Notifiche ENISA

Gestione degli artefatti

I Vostri SBOM, validati e versionati

Carica un file CycloneDX o SPDX. Lo validiamo secondo i criteri di qualità BSI TR-03183, calcoliamo il punteggio di completezza e conserviamo registrazioni pronte per l'audit per ogni versione del prodotto.

CycloneDX e SPDX Il formato viene rilevato automaticamente al caricamento. Validazione dello schema CycloneDX 1.6, parsing SPDX 2.2+.

Punteggio di qualità TR-03183 Metriche ponderate per completezza di PURL, hash, fornitore, licenza e versione.

Supporto HBOM e VEX Estrazione di Hardware Bill of Materials e Vulnerability Exploitability eXchange da CycloneDX.

Visualizzazione del grafo delle dipendenze Albero dei componenti interattivo con Mermaid.js con espansione delle dipendenze transitive e navigazione al clic.

Confronto versioni e rilevamento delle deviazioni Confrontate gli SBOM tra le versioni. Rilevate componenti nuovi, rimossi e modificati.

Creazione VEX Create e pubblicate dichiarazioni VEX (Vulnerability Exploitability eXchange) direttamente nell'applicazione. Esportazione in formato CycloneDX VEX.

CycloneDX SPDX HBOM VEX SARIF

Punteggio di qualità

Valutazione automatica secondo lo standard BSI TR-03183 con raccomandazioni di miglioramento.

Albero delle dipendenze

Visualizzate le dipendenze dirette e transitive con rilevamento delle dipendenze circolari.

Confronto versioni

Confrontate gli SBOM tra le versioni. Tracciate cosa è cambiato e perché.

Verifica delle licenze

Identificate combinazioni di licenze problematiche nei Vostri componenti.

Scansione delle vulnerabilità

Rileva nuovi CVE in pochi minuti, non giorni

Sincronizziamo l'intelligence sulle vulnerabilità da NVD, OSV.dev, CISA KEV ed EPSS ogni 15 minuti, poi riverifichiamo i risultati con uno scanner indipendente. Rilevamento più rapido, meno punti ciechi.

Sincronizzato ogni 15 minuti NVD/cvelistV5, OSV.dev, CISA KEV ed EPSS vengono aggiornati con cadenza di 15 minuti.

Livello di verifica indipendente Lo scanner ricontrolla i risultati separatamente, così le rilevazioni mancate in una fonte possono comunque essere individuate.

Prioritizzazione basata su EPSS Ogni risultato è arricchito con dati EPSS, così i team possono concentrarsi sull'effettivo sfruttamento reale, non solo sulla gravità grezza.

Riscansioni automatiche e riscontri con KEV Le versioni di produzione e di staging vengono riscansionate automaticamente e i risultati sono confrontati con il catalogo CISA KEV.

Tracciamento delle correzioni Ciclo di vita in cinque fasi per vulnerabilità: apertura, correzione, verifica, rilascio. Tracciamento dello stato per ogni versione interessata.

Gestione delle soppressioni Sopprimete i falsi positivi con motivazione, date di scadenza e flussi di approvazione.

Analisi di raggiungibilità Contrassegnate i componenti come raggiungibili o non raggiungibili per dare priorità a ciò che conta davvero.

Advisory CSAF Ciclo di vita completo degli advisory: importazione, validazione, pubblicazione. Dalla bozza alla versione finale con diff semantico. Conforme all'Art. 11 del CRA.

Base di Conoscenza delle Vulnerabilità Five authoritative sources aggregated into a single local knowledge base: NVD/cvelistV5, OSV.dev, GitHub Security Advisories, CISA KEV, and EPSS. Synced every 15 minutes. Our vulnerability scanner runs as an independent verification layer for zero blind spots.

Flusso VEX automatizzato e tracciamento della copertura Le decisioni di triage generano automaticamente bozze di dichiarazioni VEX: soppressioni, scarti e cambi di stato delle correzioni alimentano tutti il ponte VEX. Revisione in blocco e pubblicazione con un clic. Esporta VEX conforme a CycloneDX 1.6 per versione. Monitora la percentuale di copertura su tutte le vulnerabilità valutate in un'unica metrica pronta per l'audit.

Intelligence sulle vulnerabilità correlata

Sincronizzazione ogni 15 minuti

Sorgente NVD / cvelistV5 Aggiornamenti CVE di base

Sorgente OSV.dev Avvisi specifici per ecosistema

Sorgente CISA KEV Vulnerabilità sfruttate note

Sorgente EPSS Probabilità di sfruttamento reale

Passo 1 Aggrega e verifica

Più flussi di intelligence vengono correlati e poi ricontrollati con uno scanner indipendente.

Passo 2 Dai priorità a ciò che conta

I dati KEV ed EPSS fanno emergere i risultati con maggiore probabilità di diventare veri problemi operativi.

Corrispondenza KEV Prioritizzato per EPSS

Risultato I risultati verificati passano all'azione più rapidamente

Le riscansioni automatiche mantengono aggiornate le versioni di produzione e di staging mentre il flusso resta concentrato sul rischio attivo.

Documentazione tecnica

Pacchetti dell'Allegato VII, pronti su richiesta

L'Articolo 13 richiede 10 anni di documentazione tecnica. Generiamo i pacchetti dell'Allegato VII, i certificati e i rapporti di conformità in modo che le richieste delle autorità di vigilanza del mercato non ti colgano impreparato.

Esportazione file tecnico

Un ZIP con tutto: manifesto leggibile dalla macchina (JSON), SBOM (CycloneDX/SPDX), attestazioni, checklist di conformità e report di attribuzione. Leggibile dall'uomo e dalla macchina, strutturato secondo l'Annex VII.

Dichiarazione UE di conformità

Genera documenti di Dichiarazione di Conformità UE con formattazione corretta, versionamento e tracciamento marcatura CE.

Report di conformità

PDF o HTML. Riepilogo delle vulnerabilità, inventario dei componenti, punteggi di qualità e stato delle correzioni in un unico report da consegnare agli auditor.

Scheda dati di sicurezza

Procedura guidata per la scheda di sicurezza Annex II. Redazione, validazione e pubblicazione. Esportazione in PDF, Markdown o HTML.

Certificati

Ciclo di vita dei certificati: bozza, emissione, revoca. I certificati emessi sono immutabili con generazione PDF scaricabile.

Documenti multilingue

Generate documents in 8 languages: English, Spanish, German, French, Italian, Polish, Dutch, and Swedish.

Conformità all'Annex I

Valutate il Vostro prodotto rispetto a tutti i 20 requisiti essenziali di cybersicurezza dell'Annex I Parte I del CRA. Tracciate quali avete soddisfatto e quali mancano.

Firma degli artefatti

Firma basata su Sigstore per SBOM e artefatti. Modalità keyless e con chiave, con verifica della firma per l'integrità della catena di fornitura.

Tracciamento del periodo di supporto

Definite e tracciate il periodo minimo obbligatorio di supporto di 5 anni ai sensi dell'Art. 13(5) del CRA. Avvisi quando i prodotti si avvicinano alla fine del supporto.

Notifiche ENISA

Non perdere mai una scadenza ENISA

L'Articolo 14 prevede due percorsi di notifica con scadenze separate: vulnerabilità e incidenti gravi. Li copriamo entrambi con modelli strutturati e un conto alla rovescia di monitoraggio.

24h

Avviso Preventivo

Notifica iniziale della vulnerabilità entro 24 ore dalla scoperta. ID CVE, prodotti interessati e valutazione della complessità dell'attacco.

72h

Notifica dettagliata

Analisi tecnica con tempistica di correzione, soluzioni temporanee e valutazione d'impatto ampliata entro 72 ore.

14d

Report finale

Conferma della risoluzione con dettagli sulla correzione definitiva, tempistica di distribuzione e lezioni apprese. 14 giorni per le vulnerabilità, 30 giorni per gli incidenti.

Promemoria scadenze Avvisi automatici prima della scadenza di ogni obbligo

Pronto per ENISA SRP Payload strutturati per la Piattaforma di Segnalazione Unica ENISA. Integrazione dal primo giorno al lancio dell'API.

Storico delle segnalazioni Tracciabilità completa di tutte le notifiche generate e monitoraggio dello stato

Gestione degli incidenti Flusso di lavoro separato per incidenti gravi (Art. 14(3)). Report finale entro 30 giorni rispetto ai 14 giorni per le vulnerabilità.

Report PDF e avvisi di scadenza PDF di avviso preventivo, report dettagliato e report finale. Conto alla rovescia nella dashboard quando si avvicinano le scadenze.

Coordinamento CSIRT Notifica simultanea a ENISA e al tuo CSIRT nazionale ai sensi dell'Articolo 14.

Hardware e firmware

Progettato per prodotti con componenti hardware

Macchinari, sistemi embedded e dispositivi IoT hanno bisogno di più dei semplici SBOM software. CRA Evidence supporta l'intero ciclo di vita dei prodotti hardware.

Tracciamento HBOM Hardware Bill of Materials con 15 tipi di componenti, inclusi sensori, attuatori e microcontrollori.

Analisi SBOM del firmware Carica una SBOM dal tuo firmware o dai componenti hardware e verifica automaticamente tutto il software embedded alla ricerca di CVE noti.

Flusso di lavoro per la marcatura CE Tieni traccia della valutazione di conformità con una pista di controllo completa. Genera le dichiarazioni UE di conformità.

Etichettatura fisica Passaporti digitali di prodotto con codici QR per i prodotti hardware.

Scopri di più sulla conformità CRA per i fabbricanti di macchinari

Progettato per ogni ruolo CRA

Dashboard per Produttori, Importatori e Distributori

Il CRA impone obblighi diversi a produttori (Art. 13), importatori (Art. 19) e distributori (Art. 20). Ogni ruolo dispone del proprio workspace con i flussi di lavoro effettivamente pertinenti.

Gestione prodotti e versioni

Prodotti organizzati per categoria CRA: Predefinito, Importante Classe I/Classe II, Critico. Ogni versione registra il suo stato di rilascio, l’ambiente e il livello di conservazione.

Pipeline completa degli artefatti

Caricate SBOM, HBOM e VEX per ogni versione. Il punteggio di qualità e la scansione delle vulnerabilità si attivano automaticamente.

Gestione vulnerabilità e incidenti

Tracciamento CVE, flussi di rimedio, notifiche ENISA. La dashboard di sicurezza classifica tutto per punteggio EPSS e segnala le voci CISA KEV.

Generazione del fascicolo tecnico

L'export Annex VII raggruppa tutto in un ZIP: SBOM leggibili dalla macchina, checklist di conformità, report di attribuzione e dichiarazioni di conformità. Pronto per gli audit automatizzati di sorveglianza del mercato.

Notifiche ai clienti

Sistema di notifica delle vulnerabilità per i clienti a valle. Modelli multilingue con gestione delle liste di distribuzione.

Badge di fiducia

Badge di conformità integrabili nelle Vostre pagine prodotto. Collegamento alla verifica pubblica del Vostro stato di conformità CRA.

Tracciamento della valutazione di conformità

Seguite il vostro percorso di valutazione in base alla categoria di prodotto: autovalutazione (Predefinito), controllo interno (Importante Classe I) o valutazione da parte di terzi (Importante Classe II, Critico).

Digital Product Passports

Generi Digital Product Passports dinamici e accessibili al pubblico per ogni versione. Codici QR, JSON-LD ed esportazione PDF — multilingue e leggibili dalle macchine.

Documenti Multilingue

Generi documentazione tecnica, report di conformità e Digital Product Passports in 8 lingue UE: inglese, spagnolo, tedesco, francese, italiano, polacco, olandese e svedese.

Flusso di verifica Art. 19

Checklist passo dopo passo che copre quanto richiesto dall'Art. 19: verifica della marcatura CE, revisione Annex II, identificazione dell'importatore sul prodotto, Dichiarazione di Conformità UE raccolta, approvazione finale.

Registro dei produttori

Tenete traccia dei Vostri produttori: contatti, rappresentanti UE, metadati CVD/CSAF. Impostate la frequenza di riverifica per ciascuno.

Decisioni di blocco distribuzione

Riscontrato un problema? Bloccate il prodotto. Registrate la motivazione, notificate le parti interessate e segnalate all'autorità. Tutto viene tracciato.

Trigger di riverifica

Nuova vulnerabilità trovata? Aggiornamento importante rilasciato? Data di revisione in avvicinamento? Riceverete un avviso per la riverifica.

Clonazione delle verifiche

State verificando una nuova versione dello stesso prodotto? Clonate la verifica precedente. Lo stato della checklist e i dati del produttore vengono riportati.

Dashboard di verifica

Visualizzate a colpo d'occhio la situazione complessiva: quanti prodotti sono verificati, in attesa, bloccati o in scadenza per la riverifica.

Checklist di diligenza Art. 20

Tutto ciò che l'Art. 20 richiede, in una checklist: identificazione e tracciabilità del prodotto, marcatura CE, dichiarazione UE, contatti del produttore, rilevamento delle anomalie.

Caricamento evidenze CE

Caricate le Vostre evidenze di marcatura CE: foto, scansioni, certificati. I controlli sul tipo e sulla dimensione dei file sono integrati e tutto viene registrato nell'audit log.

Certificati di verifica

Generate certificati PDF che attestano la conformità alla diligenza dovuta. Includono i dettagli del distributore, l'ambito, la data e un numero di verifica univoco.

Azioni di blocco distribuzione

Qualcosa non va? Bloccate la distribuzione. La motivazione viene registrata e le autorità e i produttori vengono notificati.

Vista del portafoglio

Visualizzate tutte le Vostre verifiche in un unico punto. Filtrate per stato, prodotto o data di completamento per trovare ciò che richiede attenzione.

Avanzamento della conformità

Barre di avanzamento visive per ogni prodotto. Potete vedere a colpo d'occhio a che punto è ogni verifica e cosa manca.

CI/CD e automazione

Si integra nella Vostra pipeline di build

Sono disponibili un CLI e un'API REST. Caricate SBOM, avviate scansioni e controllate i rilasci dal CI. Funziona con GitHub Actions, GitLab CI o qualsiasi strumento in grado di eseguire comandi shell.

Strumento CLI Caricate SBOM/HBOM/VEX, eseguite scansioni, verificate lo stato, gestite i rilasci e confrontate le versioni dal terminale.

Soglie di blocco per gravità Blocco della build CI quando vengono rilevate vulnerabilità critiche o alte. Configurabile per pipeline.

Chiavi API con ambito Permessi granulari: sbom:read, sbom:write, vuln:read, vuln:write e altri. Con limiti di frequenza e tracciamento audit.

Webhooks Ricevete eventi per nuove vulnerabilità scoperte, avvisi di scadenza ENISA e altri eventi di conformità.

Motore delle policy Regole policy-as-code per licenze, soglie di vulnerabilità, punteggi di qualità e componenti bloccati. Ambito dal globale alla singola versione.

Gate di approvazione al rilascio Flussi di approvazione configurabili prima del rilascio delle versioni. Gate manuali e verifiche automatiche delle condizioni.

# Analizza un'immagine Docker e carica l'SBOM
$ docker run --rm \
-e CRA_EVIDENCE_API_KEY="cra_xxx" \
-v /var/run/docker.sock:/var/run/docker.sock \
craevidence/cli:latest \
upload-sbom \
--product my-app \
--version 2.1.0 \
--image my-app:2.1.0 \
--scan --fail-on high

Upload successful!

Product       my-app (created new)
Version       2.1.0 (created new)
Components    142
Quality Score 87%

Vulnerabilities
  Critical    0
  High        0
  Medium      3
  Low         1

GitHub Actions GitLab CI Jenkins Qualsiasi CI

Vedi la guida completa all'integrazione CI/CD

Integrazioni

Funziona con gli strumenti che già utilizzate

Jira

Create issue per le vulnerabilità direttamente

Slack

Avvisi in tempo reale su vulnerabilità e scadenze

GitHub

Sincronizzazione degli advisory di sicurezza e integrazione con i repository

Dependency-Track

Importate SBOM da istanze esistenti

Microsoft Teams

Notifiche nei Vostri canali Teams

Scadenze ENISA

Promemoria automatici a 24h, 72h, 14g/30g

Portale fornitori

Condivisione SBOM con i clienti con controllo degli accessi

Webhook generico

Inviate eventi a qualsiasi endpoint HTTP

Sicurezza e affidabilità

Progettato per essere affidabile con i Vostri dati di conformità

Controllo degli accessi

Accesso basato sui ruoli

Ruoli Owner, Admin, Member, Viewer. Chiavi API con ambito e permessi granulari.

SSO e MFA

SAML 2.0, OAuth Google e Microsoft, provisioning SCIM. Autenticazione multifattore TOTP.

Protezione dei dati

Crittografia

AES-256 per i dati a riposo, TLS 1.3 in transito. Hashing delle password con Argon2id.

Multi-tenancy

Isolamento completo dei tenant. Ogni query rispetta i confini dell'organizzazione.

Osservabilità

Registrazione di audit

Tracciabilità completa di tutte le azioni. Audit trail interrogabile con esportazione CSV.

Limitazione della frequenza

Limitazione della frequenza a finestra mobile sugli endpoint di login, API e caricamento.

Conformità

Sicurezza dei contenuti

Header CSP rigorosi, protezione CSRF, sanitizzazione HTML e HSTS.

Conservazione 10 anni

Dati di produzione conservati per 10 anni ai sensi dell'Art. 13 del CRA. Conservazione basata sui livelli.

Strumenti Gratuiti

Non siete sicuri che il CRA si applichi a Voi?

Individuate i Vostri obblighi prima di sottoscrivere qualsiasi cosa. Questi strumenti sono gratuiti e non richiedono un account.

Verificatore Applicabilità CRA Procedura guidata di 11 domande per determinare se il Cyber Resilience Act si applica al Vostro prodotto. Copre le esenzioni settoriali, i requisiti di connettività e la classificazione del prodotto.

Quiz sui ruoli CRA Scoprite se siete un produttore, un importatore o un distributore ai sensi del CRA. Ruoli diversi hanno obblighi diversi.

Risultati condivisibili Condividi i risultati con colleghi o team legali tramite un link unico. Disponibile in tutte le 8 lingue europee.

Provate la verifica di applicabilità CRA Provate il quiz CRA gratuito

Nessuna registrazione richiesta. Richiede circa 2 minuti.

CRA Evidence Platform