Piattaforma di Conformità CRA | SBOM, VEX e Notifiche ENISA

Gestione degli artefatti

I Vostri SBOM, validati e versionati

Carica un file CycloneDX o SPDX. Lo validiamo secondo i criteri di qualità BSI TR-03183, calcoliamo il punteggio di completezza e conserviamo registrazioni pronte per l'audit per ogni versione del prodotto.

CycloneDX e SPDX Il formato viene rilevato automaticamente al caricamento. Validazione dello schema CycloneDX 1.6, parsing SPDX 2.2+.

Punteggio di qualità TR-03183 Metriche ponderate per completezza di PURL, hash, fornitore, licenza e versione.

Supporto HBOM e VEX Estrazione di Hardware Bill of Materials e Vulnerability Exploitability eXchange da CycloneDX.

Visualizzazione del grafo delle dipendenze Albero dei componenti interattivo con Mermaid.js con espansione delle dipendenze transitive e navigazione al clic.

Confronto versioni e rilevamento delle deviazioni Confrontate gli SBOM tra le versioni. Rilevate componenti nuovi, rimossi e modificati.

Creazione VEX Create e pubblicate dichiarazioni VEX (Vulnerability Exploitability eXchange) direttamente nell'applicazione. Esportazione in formato CycloneDX VEX.

CycloneDX SPDX HBOM VEX SARIF

Punteggio di qualità

Valutazione automatica secondo lo standard BSI TR-03183 con raccomandazioni di miglioramento.

Albero delle dipendenze

Visualizzate le dipendenze dirette e transitive con rilevamento delle dipendenze circolari.

Confronto versioni

Confrontate gli SBOM tra le versioni. Tracciate cosa è cambiato e perché.

Verifica delle licenze

Identificate combinazioni di licenze problematiche nei Vostri componenti.

Scansione delle vulnerabilità

Rileva nuovi CVE in pochi minuti, non giorni

Sincronizziamo l'intelligence sulle vulnerabilità da NVD, OSV.dev, CISA KEV, EPSS ed ENISA EUVD ogni 15 minuti, poi riverifichiamo i risultati con uno scanner indipendente. Rilevamento più rapido, meno punti ciechi.

Sincronizzato ogni 15 minuti NVD/cvelistV5, OSV.dev, CISA KEV, EPSS ed ENISA EUVD vengono aggiornati con cadenza di 15 minuti.

Livello di verifica indipendente Lo scanner ricontrolla i risultati separatamente, così le rilevazioni mancate in una fonte possono comunque essere individuate.

Prioritizzazione basata su EPSS Ogni risultato è arricchito con dati EPSS, così i team possono concentrarsi sull'effettivo sfruttamento reale, non solo sulla gravità grezza.

Riscansioni automatiche e riscontri con KEV Le versioni di produzione e di staging vengono riscansionate automaticamente e i risultati sono confrontati con il catalogo CISA KEV.

Tracciamento delle correzioni Ciclo di vita in cinque fasi per vulnerabilità: apertura, correzione, verifica, rilascio. Tracciamento dello stato per ogni versione interessata.

Gestione delle soppressioni Sopprimete i falsi positivi con motivazione, date di scadenza e flussi di approvazione.

Analisi di raggiungibilità Contrassegnate i componenti come raggiungibili o non raggiungibili per dare priorità a ciò che conta davvero.

Advisory CSAF Ciclo di vita completo degli advisory: importazione, validazione, pubblicazione. Dalla bozza alla versione finale con diff semantico.

Base di Conoscenza delle Vulnerabilità Sei fonti autorevoli in un'unica base di conoscenza locale: NVD/cvelistV5, OSV.dev, GitHub Security Advisories, CISA KEV, EPSS ed ENISA EUVD.

Flusso VEX automatizzato e tracciamento della copertura Le decisioni di triage generano automaticamente bozze di dichiarazioni VEX. Revisione in blocco e pubblicazione con un clic, esportazione di VEX CycloneDX per versione e monitoraggio della copertura su tutte le vulnerabilità.

Intelligence sulle vulnerabilità correlata

Sincronizzazione ogni 15 minuti

Sorgente NVD / cvelistV5 Aggiornamenti CVE di base

Sorgente OSV.dev Avvisi specifici per ecosistema

Sorgente CISA KEV Vulnerabilità sfruttate note

Sorgente EPSS Probabilità di sfruttamento reale

Sorgente ENISA EUVD Divulgazioni coordinate di vulnerabilità dell'UE

Passo 1 Aggrega e verifica

Più flussi di intelligence vengono correlati e poi ricontrollati con uno scanner indipendente.

Passo 2 Dai priorità a ciò che conta

I dati KEV ed EPSS fanno emergere i risultati con maggiore probabilità di diventare veri problemi operativi.

Corrispondenza KEV Prioritizzato per EPSS

Risultato I risultati verificati passano all'azione più rapidamente

Le riscansioni automatiche mantengono aggiornate le versioni di produzione e di staging mentre il flusso resta concentrato sul rischio attivo.

Documentazione tecnica

Documentazione di conformità, pronta su richiesta

Il CRA richiede 10 anni di documentazione tecnica. Generiamo i pacchetti dell'Allegato VII, i certificati e i rapporti di conformità in modo che le richieste delle autorità di vigilanza del mercato non vi colgano impreparati.

Esportazione file tecnico

Un ZIP con tutto: manifesto leggibile dalla macchina (JSON), SBOM (CycloneDX/SPDX), attestazioni, checklist di conformità e report di attribuzione.

Dichiarazione UE di conformità

Genera documenti di Dichiarazione di Conformità UE con formattazione corretta, versionamento e tracciamento marcatura CE.

Report di conformità

PDF o HTML. Riepilogo delle vulnerabilità, inventario dei componenti, punteggi di qualità e stato delle correzioni in un unico report da consegnare agli auditor.

Scheda dati di sicurezza

Procedura guidata per la scheda di sicurezza Annex II. Redazione, validazione e pubblicazione. Esportazione in PDF, Markdown o HTML.

Certificati

Ciclo di vita dei certificati: bozza, emissione, revoca. I certificati emessi sono immutabili con generazione PDF scaricabile.

Documenti multilingue

Genera documenti in tutte le 24 lingue ufficiali dell'UE.

Conformità all'Annex I

Valutate il Vostro prodotto rispetto a tutti i 20 requisiti essenziali di cybersicurezza dell'Annex I Parte I del CRA. Tracciate quali avete soddisfatto e quali mancano.

Firma degli artefatti

Firma basata su Sigstore per SBOM e artefatti. Modalità keyless e con chiave, con verifica della firma per l'integrità della catena di fornitura.

Tracciamento del periodo di supporto

Definite e tracciate i periodi di assistenza dei prodotti, con avvisi quando si avvicinano alla fine dell'assistenza.

Notifiche ENISA

Non perdere mai una scadenza ENISA

Il CRA prevede due percorsi di notifica con scadenze separate: vulnerabilità e incidenti gravi. Li copriamo entrambi con modelli strutturati e un conto alla rovescia di monitoraggio.

24h

Avviso Preventivo

Notifica iniziale della vulnerabilità entro 24 ore dalla presa di conoscenza. ID CVE, prodotti interessati e valutazione della complessità dell'attacco.

72h

Notifica dettagliata

Analisi tecnica con tempistica di correzione, soluzioni temporanee e valutazione d'impatto ampliata entro 72 ore.

14d

Report finale

Conferma della risoluzione con dettagli sulla correzione definitiva, tempistica di distribuzione e lezioni apprese. 14 giorni per le vulnerabilità, 30 giorni per gli incidenti.

Promemoria scadenze Avvisi automatici prima della scadenza di ogni obbligo

Pronto per ENISA SRP Payload strutturati per la Piattaforma di Segnalazione Unica ENISA. Integrazione dal primo giorno al lancio dell'API.

Storico delle segnalazioni Tracciabilità completa di tutte le notifiche generate e monitoraggio dello stato

Gestione degli incidenti Flusso di lavoro separato per incidenti gravi (Art. 14(3)). Report finale entro 30 giorni rispetto ai 14 giorni per le vulnerabilità.

Report PDF e avvisi di scadenza PDF di avviso preventivo, report dettagliato e report finale. Conto alla rovescia nella dashboard quando si avvicinano le scadenze.

Coordinamento CSIRT Notifica simultanea a ENISA e al vostro CSIRT nazionale.

Hardware e firmware

Progettato per prodotti con componenti hardware

Macchinari, sistemi embedded e dispositivi IoT hanno bisogno di più dei semplici SBOM software. CRA Evidence supporta l'intero ciclo di vita dei prodotti hardware.

Tracciamento HBOM Hardware Bill of Materials con 15 tipi di componenti, inclusi sensori, attuatori e microcontrollori.

Analisi SBOM del firmware Carica una SBOM dal tuo firmware o dai componenti hardware e verifica automaticamente tutto il software embedded alla ricerca di CVE noti.

Flusso di lavoro per la marcatura CE Tieni traccia della valutazione di conformità con una pista di controllo completa. Genera le dichiarazioni UE di conformità.

Etichettatura fisica Passaporti Digitali di Prodotto con codici QR per i prodotti hardware.

Scopri di più sulla conformità CRA per i fabbricanti di macchinari

Progettato per ogni ruolo CRA

Dashboard per Produttori, Importatori e Distributori

Il CRA impone obblighi diversi a produttori, importatori e distributori. Ogni ruolo dispone del proprio workspace con i flussi di lavoro effettivamente pertinenti.

Gestione prodotti e versioni

Prodotti organizzati per categoria CRA: Predefinito, Importante Classe I/Classe II, Critico. Ogni versione registra il suo stato di rilascio, l’ambiente e il livello di conservazione.

Pipeline completa degli artefatti

Caricate SBOM, HBOM e VEX per ogni versione. Il punteggio di qualità e la scansione delle vulnerabilità si attivano automaticamente.

Gestione vulnerabilità e incidenti

Tracciamento CVE, flussi di rimedio, notifiche ENISA. La dashboard di sicurezza classifica tutto per punteggio EPSS e segnala le voci CISA KEV.

Generazione del fascicolo tecnico

L'esportazione Annex VII include tutto in un file ZIP: SBOM, checklist di conformità, report di attribuzione e dichiarazioni di conformità.

Notifiche ai clienti

Sistema di notifica delle vulnerabilità per i clienti a valle. Modelli multilingue con gestione delle liste di distribuzione.

Badge di fiducia

Badge di conformità integrabili nelle Vostre pagine prodotto. Collegamento alla verifica pubblica del Vostro stato di conformità CRA.

Tracciamento della valutazione di conformità

Tracciate il percorso di valutazione della conformità corretto per ogni categoria di prodotto, dall'autovalutazione alla certificazione da parte di un organismo notificato.

Passaporti Digitali di Prodotto

Genera Passaporti Digitali di Prodotto dinamici e accessibili al pubblico per ogni versione. Codici QR, JSON-LD ed esportazione PDF: multilingue e leggibili dalle macchine.

Documenti Multilingue

Generate documentazione tecnica, report di conformità e Passaporti Digitali di Prodotto in 8 lingue UE.

Flusso di verifica per l'importatore

Checklist passo dopo passo che copre gli obblighi dell'importatore: verifica della marcatura CE, revisione Annex II, identificazione dell'importatore sul prodotto, Dichiarazione di Conformità UE raccolta, approvazione finale.

Registro dei produttori

Tenete traccia dei Vostri produttori: contatti, rappresentanti UE, metadati CVD/CSAF. Impostate la frequenza di riverifica per ciascuno.

Decisioni di blocco distribuzione

Riscontrato un problema? Bloccate il prodotto. Registrate la motivazione, notificate le parti interessate e segnalate all'autorità. Tutto viene tracciato.

Trigger di riverifica

Nuova vulnerabilità trovata? Aggiornamento importante rilasciato? Data di revisione in avvicinamento? Riceverete un avviso per la riverifica.

Clonazione delle verifiche

State verificando una nuova versione dello stesso prodotto? Clonate la verifica precedente. Lo stato della checklist e i dati del produttore vengono riportati.

Dashboard di verifica

Visualizzate a colpo d'occhio la situazione complessiva: quanti prodotti sono verificati, in attesa, bloccati o in scadenza per la riverifica.

Checklist di diligenza per il distributore

Tutto ciò che un distributore deve verificare, in un unico elenco: identificazione e tracciabilità del prodotto, marcatura CE, dichiarazione UE, contatti del produttore, rilevamento delle anomalie.

Caricamento evidenze CE

Caricate le Vostre evidenze di marcatura CE: foto, scansioni, certificati. I controlli sul tipo e sulla dimensione dei file sono integrati e tutto viene registrato nell'audit log.

Certificati di verifica

Generate certificati PDF che attestano la conformità alla diligenza dovuta. Includono i dettagli del distributore, l'ambito, la data e un numero di verifica univoco.

Azioni di blocco distribuzione

Qualcosa non va? Bloccate la distribuzione. La motivazione viene registrata e le autorità e i produttori vengono notificati.

Vista del portafoglio

Visualizzate tutte le Vostre verifiche in un unico punto. Filtrate per stato, prodotto o data di completamento per trovare ciò che richiede attenzione.

Avanzamento della conformità

Barre di avanzamento visive per ogni prodotto. Potete vedere a colpo d'occhio a che punto è ogni verifica e cosa manca.

CI/CD e automazione

Si integra nella Vostra pipeline di build

Sono disponibili un CLI e un'API REST. Caricate SBOM, avviate scansioni e controllate i rilasci dal CI. Funziona con GitHub Actions, GitLab CI o qualsiasi strumento in grado di eseguire comandi shell.

Strumento CLI Caricate SBOM/HBOM/VEX, eseguite scansioni, verificate lo stato, gestite i rilasci e confrontate le versioni dal terminale.

Soglie di blocco per gravità Blocco della build CI quando vengono rilevate vulnerabilità critiche o alte. Configurabile per pipeline.

Chiavi API con ambito Permessi granulari: sbom:read, sbom:write, vuln:read, vuln:write e altri. Con limiti di frequenza e tracciamento audit.

Webhooks Ricevete eventi per nuove vulnerabilità scoperte, avvisi di scadenza ENISA e altri eventi di conformità.

Motore delle policy Regole policy-as-code per licenze, soglie di vulnerabilità, punteggi di qualità e componenti bloccati. Ambito dal globale alla singola versione.

Gate di approvazione al rilascio Flussi di approvazione configurabili prima del rilascio delle versioni. Gate manuali e verifiche automatiche delle condizioni.

# Analizza un'immagine Docker e carica l'SBOM
$ docker run --rm \
-e CRA_EVIDENCE_API_KEY="cra_xxx" \
-v /var/run/docker.sock:/var/run/docker.sock \
craevidence/cli:latest \
upload-sbom \
--product my-app \
--version 2.1.0 \
--image my-app:2.1.0 \
--scan --fail-on high

Upload successful!

Product       my-app (created new)
Version       2.1.0 (created new)
Components    142
Quality Score 87%

Vulnerabilities
  Critical    0
  High        0
  Medium      3
  Low         1

GitHub Actions GitLab CI Jenkins Qualsiasi CI

Vedi la guida completa all'integrazione CI/CD

Integrazioni

Funziona con gli strumenti che già utilizzate

Jira

Create issue per le vulnerabilità direttamente

Slack

Avvisi in tempo reale su vulnerabilità e scadenze

GitHub

Sincronizzazione degli advisory di sicurezza e integrazione con i repository

Dependency-Track

Importate SBOM da istanze esistenti

Microsoft Teams

Notifiche nei Vostri canali Teams

Scadenze ENISA

Promemoria automatici a 24h, 72h, 14g/30g

Portale fornitori

Condivisione SBOM con i clienti con controllo degli accessi

Webhook generico

Inviate eventi a qualsiasi endpoint HTTP

Sicurezza e affidabilità

Progettato per essere affidabile con i Vostri dati di conformità

Controllo degli accessi

Accesso basato sui ruoli

Ruoli Owner, Admin, Member, Viewer. Chiavi API con ambito e permessi granulari.

SSO e MFA

SAML 2.0, OAuth Google e Microsoft, provisioning SCIM. Autenticazione multifattore TOTP.

Protezione dei dati

Crittografia

AES-256 per i dati a riposo, TLS 1.3 in transito. Hashing delle password con Argon2id.

Multi-tenancy

Isolamento completo dei tenant. Ogni query rispetta i confini dell'organizzazione.

Osservabilità

Registrazione di audit

Tracciabilità completa di tutte le azioni. Audit trail interrogabile con esportazione CSV.

Limitazione della frequenza

Limitazione della frequenza a finestra mobile sugli endpoint di login, API e caricamento.

Conformità

Sicurezza dei contenuti

Header CSP rigorosi, protezione CSRF, sanitizzazione HTML e HSTS.

Conservazione 10 anni

Dati di produzione conservati per 10 anni, come richiede il CRA. Conservazione basata sui livelli.

Strumenti gratuiti

Non siete sicuri che il CRA si applichi a Voi?

Individuate i Vostri obblighi prima di sottoscrivere qualsiasi cosa. Questi strumenti sono gratuiti e non richiedono un account.

Verificatore Applicabilità CRA Procedura guidata di 11 domande per determinare se il Regolamento sulla ciberresilienza si applica al Vostro prodotto. Copre le esenzioni settoriali, i requisiti di connettività e la classificazione del prodotto.

Quiz sul ruolo CRA Scoprite se siete un produttore, un importatore o un distributore ai sensi del CRA. Ruoli diversi hanno obblighi diversi.

Risultati condivisibili Condividi i risultati con colleghi o team legali tramite un link unico. Disponibile in tutte le 8 lingue europee.

Provate la verifica di applicabilità CRA Provate il quiz CRA gratuito

Nessuna registrazione richiesta. Richiede circa 2 minuti.

CRA Evidence Platform