Welke SBOM-formaten ondersteunt CRA Evidence?

CRA Evidence ondersteunt CycloneDX (JSON en XML) en SPDX (JSON, tag-waarde en RDF) formaten. SBOMs kunnen worden geüpload via de webinterface, REST API of het CI/CD CLI-hulpmiddel.

Hoe werkt kwetsbaarheidsscanning?

CRA Evidence operates its own Vulnerability Knowledge Base, synced every 15 minutes from NVD/cvelistV5, OSV.dev (covering GitHub, Go, Rust, PyPI advisories), CISA KEV, and EPSS scoring. CRA Evidence vulnerability scanner runs as an independent verification layer. Each finding is enriched with EPSS exploit probability scores from FIRST.org and cross-referenced with the CISA KEV catalog for known-exploited vulnerabilities. Production versions are rescanned automatically when vulnerability databases update. Findings that you dismiss or suppress automatically generate draft VEX statements for batch review and CycloneDX export.

Wat is ENISA Art. 14-rapportage?

Art. 14 van de Cyber Resilience Act vereist dat fabrikanten actief uitgebuite kwetsbaarheden melden aan ENISA en nationale CSIRTs binnen strikte termijnen: 24-uurs vroegtijdige waarschuwing, 72-uurs gedetailleerd rapport en 14-daags eindrapport. CRA Evidence biedt gestructureerde workflows en rapportgeneratie voor deze verplichtingen.

Ondersteunt CRA Evidence alle CRA-rollen van economische actoren?

Ja. CRA Evidence biedt specifieke workflows voor alle drie de CRA-rollen: fabrikanten (volledige nalevingstools), importeurs (verificatie en zorgvuldigheidsonderzoek) en distributeurs (zorgvuldigheidscontroles en documentatie). Elke rol krijgt een werkruimte op maat met rolspecifieke functies.

Kan CRA Evidence worden geïntegreerd met CI/CD-pipelines?

Ja. CRA Evidence biedt een CLI-tool en REST API voor CI/CD-integratie. U kunt SBOMs uploaden, de CRA-nalevingsstatus controleren en releases blokkeren op basis van kwetsbaarheidsdrempels, direct in uw GitHub Actions-, GitLab CI- of Jenkins-pipelines.

CRA Compliance-platform | SBOM, VEX en ENISA-meldingen

Artefactbeheer

Uw SBOM's, gevalideerd en versiebeheerd

Upload een CycloneDX- of SPDX-bestand. Wij valideren het tegen BSI TR-03183-kwaliteitscriteria, beoordelen de volledigheid en bewaren auditklare dossiers voor elke productversie.

CycloneDX en SPDX Het formaat wordt automatisch herkend bij upload. CycloneDX 1.6 schema-validatie, SPDX 2.2+ parsing.

TR-03183-kwaliteitsscoring Gewogen metrieken voor PURL, hashes, leverancier, licentie en versievolledigheid.

HBOM- en VEX-ondersteuning Extractie van Hardware Bill of Materials en Vulnerability Exploitability eXchange uit CycloneDX.

Visualisatie van afhankelijkheidsgrafiek Interactieve Mermaid.js-componentboom met transitieve afhankelijkheidsuitbreiding en klik-om-te-navigeren.

Versievergelijking en driftdetectie Vergelijk SBOMs tussen versies. Detecteer nieuwe, verwijderde en gewijzigde componenten.

VEX-opstelling Maak Vulnerability Exploitability eXchange-verklaringen direct in de app aan en publiceer ze. Exporteer als CycloneDX VEX.

CycloneDX SPDX HBOM VEX SARIF

Kwaliteitsscore

Automatische scoring tegen de BSI TR-03183-standaard met verbeteringsaanbevelingen.

Afhankelijkheidsboom

Visualiseer directe en transitieve afhankelijkheden met detectie van circulaire afhankelijkheden.

Versieverschillen

Vergelijk SBOMs over versies heen. Volg wat er is gewijzigd en waarom.

Licentiecontrole

Identificeer problematische licentiecombinaties in uw componenten.

Kwetsbaarheidsscanning

Detecteer nieuwe CVEs in minuten, niet in dagen

We synchroniseren kwetsbaarheidsinformatie uit NVD, OSV.dev, CISA KEV en EPSS elke 15 minuten en verifiëren de bevindingen vervolgens opnieuw met een onafhankelijke scanner. Snellere detectie, minder blinde vlekken.

Elke 15 minuten gesynchroniseerd NVD/cvelistV5, OSV.dev, CISA KEV en EPSS worden elke 15 minuten ververst.

Onafhankelijke verificatielaag De scanner controleert bevindingen apart, zodat gemiste detecties in één bron alsnog worden opgepikt.

Prioritering op basis van EPSS Elke bevinding wordt verrijkt met EPSS-gegevens zodat teams zich kunnen richten op waarschijnlijke werkelijke uitbuiting, niet alleen op de ruwe ernst.

Automatische herscans en KEV-kruiscontroles Productie- en stagingversies worden automatisch opnieuw gescand en bevindingen worden vergeleken met de CISA KEV-catalogus.

Herstellactietracking Vijffasen-levenscyclus per kwetsbaarheid: start, herstel, verificatie, release. Statustracking per getroffen versie.

Onderdrukkingsbeheer Onderdruk fout-positieven met onderbouwing, vervaldatums en goedkeuringsworkflows.

Bereikbaarheidsanalyse Markeer componenten als bereikbaar of onbereikbaar om te prioriteren wat werkelijk relevant is.

CSAF-adviezen Volledige advisory-levenscyclus: import, validatie, publicatie. Van concept tot definitief met semantisch verschil. Conform CRA Art. 11.

Kwetsbaarheidskennisbank Five authoritative sources aggregated into a single local knowledge base: NVD/cvelistV5, OSV.dev, GitHub Security Advisories, CISA KEV, and EPSS. Synced every 15 minutes. Our vulnerability scanner runs as an independent verification layer for zero blind spots.

Geautomatiseerde VEX-workflow en dekkingstracking Triage-beslissingen genereren automatisch concept-VEX-verklaringen: onderdrukkingen, afwijzingen en wijzigingen in herstelstatus voeden de VEX-bridge. Beoordeel in batch en publiceer met één klik. Exporteer VEX volgens CycloneDX 1.6 per versie. Volg het dekkingspercentage over alle beoordeelde kwetsbaarheden als één auditklaar getal.

Gecorreleerde kwetsbaarheidsinformatie

Synchronisatie elke 15 minuten

Bron NVD / cvelistV5 Basis-CVE-updates

Bron OSV.dev Ecosysteemspecifieke advisories

Bron CISA KEV Bekende uitgebuite kwetsbaarheden

Bron EPSS Waarschijnlijkheid van werkelijke uitbuiting

Stap 1 Aggregeren en verifiëren

Meerdere informatiebronnen worden gecorreleerd en vervolgens opnieuw gecontroleerd met een onafhankelijke scanner.

Stap 2 Prioriteer wat ertoe doet

KEV- en EPSS-gegevens lichten de bevindingen uit die het meest waarschijnlijk tot echte operationele problemen leiden.

KEV-overeenkomst Geprioriteerd op EPSS

Resultaat Geverifieerde bevindingen gaan sneller naar actie

Automatische herscans houden productie- en stagingversies actueel terwijl de workflow gericht blijft op actief risico.

Technische documentatie

Bijlage VII-pakketten, beschikbaar wanneer nodig

Artikel 13 vereist 10 jaar technische documentatie. We genereren de Bijlage VII-pakketten, certificaten en nalevingsrapporten zodat verzoeken van markttoezichthouders u niet onvoorbereid treffen.

Technisch bestandsexport

Eén ZIP met alles: machineleesbaar manifest (JSON), SBOMs (CycloneDX/SPDX), attestaties, compliance-checklist en attributierapporten. Mens- en machineleesbaar, gestructureerd volgens bijlage VII.

EU-conformiteitsverklaring

Genereer EU DoC-documenten met correcte opmaak, versiebeheer en CE-markering-tracking.

Compliance-rapporten

PDF of HTML. Kwetsbaarheidsoverzicht, componentinventaris, kwaliteitsscores en herstelstatus in één rapport dat u aan auditors kunt overhandigen.

Beveiligingsdatablad

Annex II beveiligingsdatablad-wizard. Opstellen, valideren, publiceren. Exporteren als PDF, Markdown of HTML.

Certificaten

Certificaatlevenscyclus: concept, uitgifte, intrekking. Onwijzigbare uitgegeven certificaten met downloadbare PDF-generatie.

Meertalige documenten

Generate documents in 8 languages: English, Spanish, German, French, Italian, Polish, Dutch, and Swedish.

Bijlage I-gereedheid

Beoordeel uw product op alle 20 essentiële cyberbeveiligingseisen uit CRA Annex I Deel I. Volg wat u heeft bereikt en wat ontbreekt.

Artefact-ondertekening

Sigstore-gebaseerde ondertekening voor SBOMs en artefacten. Sleutelloze en sleutelgebaseerde modi met handtekeningverificatie voor integriteit van de toeleveringsketen.

Ondersteuningsperiode-tracking

Definieer en volg de verplichte minimale ondersteuningsperiode van 5 jaar conform CRA Art. 13(5). Waarschuwingen wanneer producten het einde van de ondersteuning naderen.

ENISA-meldingen

Mis nooit meer een ENISA-deadline

Artikel 14 kent twee meldtrajecten met afzonderlijke deadlines: kwetsbaarheden en ernstige incidenten. We dekken beide met gestructureerde sjablonen en aftellende deadlinetracking.

24h

Vroegtijdige waarschuwing

Eerste kwetsbaarheidsmelding binnen 24 uur na ontdekking. CVE-ID, getroffen producten en beoordeling van aanvalscomplexiteit.

72h

Gedetailleerde melding

Technische analyse met hersteltijdlijn, workarounds en uitgebreide impactbeoordeling binnen 72 uur.

14d

Eindrapport

Bevestiging van oplossing met details over de definitieve fix, uitroltijdlijn en geleerde lessen. 14 dagen voor kwetsbaarheden, 30 dagen voor incidenten.

Herinneringen voor deadlines Automatische meldingen voor het verstrijken van elke verplichting

ENISA SRP-gereed Gestructureerde gegevenspakketten voor het ENISA Single Reporting Platform. Integratie op dag één wanneer de API beschikbaar is.

Inzendingshistorie Volledige audittrail van alle gegenereerde meldingen en statustracking

Incidentbeheer Afzonderlijke workflow voor ernstige incidenten (Art. 14(3)). 30 dagen voor het eindrapport tegenover 14 dagen voor kwetsbaarheden.

PDF-rapporten en waarschuwingen bij overschrijding Vroegtijdige waarschuwing, gedetailleerd rapport en eindrapport als PDF. Dashboard-aftelling wanneer deadlines naderen.

CSIRT-coördinatie Gelijktijdige melding aan ENISA en uw nationale CSIRT conform Art. 14.

Hardware & Firmware

Gebouwd voor producten met hardwarecomponenten

Machines, ingebedde systemen en IoT-apparaten hebben meer nodig dan software-SBOM's. CRA Evidence ondersteunt de volledige levenscyclus van hardwareproducten.

HBOM-beheer Hardware Bill of Materials met 15 componenttypen, waaronder sensoren, actuatoren en microcontrollers.

Firmware SBOM-analyse Upload een SBOM van uw firmware of hardwarecomponenten en controleer automatisch alle ingebedde software op bekende CVE's.

CE-markeringsworkflow Volg conformiteitsbeoordeling met volledig auditspoor. Genereer EU-conformiteitsverklaringen.

Fysieke labeling Digitale Productpaspoorten met QR-codes voor hardwareproducten.

Meer informatie over CRA-naleving voor machinefabrikanten

Gebouwd voor elke CRA-rol

Dashboards voor fabrikanten, importeurs en distributeurs

De CRA legt verschillende verplichtingen op aan fabrikanten (Art. 13), importeurs (Art. 19) en distributeurs (Art. 20). Elke rol krijgt een eigen werkruimte met de workflows die daadwerkelijk voor hen relevant zijn.

Product- en versiebeheer

Producten georganiseerd per CRA-categorie: Standaard, Belangrijke klasse I/Klasse II, Kritiek. Elke versie volgt de releasestatus, omgeving en bewaarniveau.

Volledige artefact-pipeline

Upload SBOM, HBOM en VEX per versie. Kwaliteitsbeoordeling en kwetsbaarheidsscanning starten automatisch.

Kwetsbaarheden- en incidentbeheer

CVE-tracking, herstelworkflows, ENISA-meldingen. Het beveiligingsdashboard rangschikt alles op EPSS-score en markeert CISA KEV-vermeldingen.

Generatie van technische bestanden

Annex VII-export bundelt alles in een ZIP: machineleesbare SBOMs, nalevingschecklists, attributierapporten en conformiteitsverklaringen. Gereed voor geautomatiseerde markttoezichtaudits.

Klantmeldingen

Kwetsbaarheidsmeldingssysteem voor afnemers. Meertalige sjablonen met distributielijstbeheer.

Vertrouwensbadges

Insluitbare compliance-vertrouwensbadges voor uw productpagina's. Link naar publieke verificatie van uw CRA-compliancestatus.

Tracking van conformiteitsbeoordeling

Volg uw beoordelingsroute op basis van productcategorie: zelfbeoordeling (Standaard), interne controle (Belangrijke klasse I) of beoordeling door derden (Belangrijke klasse II, Kritiek).

Digital Product Passports

Genereer dynamische, openbaar toegankelijke Digitale Productpaspoorten voor software- en hardwareproducten. QR-codes voor fysieke labeling, JSON-LD en PDF-export — meertalig en machineleesbaar.

Meertalige documenten

Genereer technische documentatie, nalevingsrapporten en Digital Product Passports in 8 EU-talen: Engels, Spaans, Duits, Frans, Italiaans, Pools, Nederlands en Zweeds.

Artikel 19-verificatieworkflow

Stapsgewijze checklist die dekt wat Art. 19 vereist: CE-markeringscontrole, Annex II-controle, importeurs-ID op het product, EU-conformiteitsverklaring verzameld, definitieve goedkeuring.

Fabrikantregister

Houd uw fabrikanten bij: contactpersonen, EU-vertegenwoordigers, CVD/CSAF-metadata. Stel in hoe vaak elke fabrikant opnieuw geverifieerd moet worden.

Leveringsstopbeslissingen

Probleem gevonden? Blokkeer het product. Leg uw motivering vast, informeer belanghebbenden en meld het bij de autoriteit. Alles wordt bijgehouden.

Herverificatietriggers

Nieuwe kwetsbaarheid gevonden? Grote update uitgebracht? Beoordelingsdatum in aantocht? U ontvangt een waarschuwing om opnieuw te verifiëren.

Verificaties klonen

Een nieuwe versie van hetzelfde product beoordelen? Kloon de vorige verificatie. Checkliststatus en fabrikantgegevens worden overgenomen.

Verificatiedashboard

Zie in één oogopslag waar alles staat: hoeveel producten geverifieerd, in behandeling, geblokkeerd of aan herverificatie toe zijn.

Art. 20 Zorgvuldigheidschecklist

Alles wat Art. 20 vereist, in een checklist: product-ID en traceerbaarheid, CE-markering, EU-verklaring, fabrikantcontacten, anomaliedetectie.

CE-bewijs uploaden

Upload uw CE-markeringsbewijzen: foto's, scans, certificaten. Bestandstype- en groottecontroles zijn ingebouwd en alles wordt vastgelegd in het auditlog.

Verificatiecertificaten

Genereer PDF-certificaten die zorgvuldigheidsnaleving bewijzen. Bevat distributeursgegevens, scope, datum en uniek verificatienummer.

Leveringsstopacties

Iets mis? Stop de distributie. De onderbouwing wordt vastgelegd en autoriteiten en fabrikanten worden geïnformeerd.

Portfolioweergave

Bekijk al uw verificaties op één plek. Filter op status, product of voltooiingsdatum om te zien wat aandacht nodig heeft.

Nalevingsvoortgang

Visuele voortgangsbalken per product. U ziet in één oogopslag hoe ver elke verificatie gevorderd is en wat nog resteert.

CI/CD & automatisering

Past in uw build-pipeline

Er is een CLI en een REST API. Upload SBOMs, start scans en beheer releases vanuit CI. Werkt met GitHub Actions, GitLab CI of elk systeem dat shell-opdrachten kan uitvoeren.

CLI-hulpprogramma Upload SBOM/HBOM/VEX, scan, controleer status, beheer releases en vergelijk versies vanaf de terminal.

Drempelwaarden voor ernstfouten CI-builds laten falen wanneer kritieke of hoge kwetsbaarheden worden gedetecteerd. Configureerbaar per pipeline.

Afgebakende API-sleutels Gedetailleerde machtigingen: sbom:read, sbom:write, vuln:read, vuln:write en meer. Frequentiebeperkt en gecontroleerd.

Webhooks Ontvang meldingen over kwetsbaarheidsontdekkingen, ENISA-termijnwaarschuwingen en andere nalevingsgebeurtenissen.

Beleidsengine Policy-as-code-regels voor licenties, kwetsbaarheidsdrempels, kwaliteitsscores en geblokkeerde componenten. Bereik van globaal tot per versie.

Release-goedkeuringspoorten Configureerbare goedkeuringsworkflows voor versie-releases. Handmatige poorten en geautomatiseerde voorwaardencontroles.

# Docker-image scannen en SBOM uploaden
$ docker run --rm \
-e CRA_EVIDENCE_API_KEY="cra_xxx" \
-v /var/run/docker.sock:/var/run/docker.sock \
craevidence/cli:latest \
upload-sbom \
--product my-app \
--version 2.1.0 \
--image my-app:2.1.0 \
--scan --fail-on high

Upload successful!

Product       my-app (created new)
Version       2.1.0 (created new)
Components    142
Quality Score 87%

Vulnerabilities
  Critical    0
  High        0
  Medium      3
  Low         1

GitHub Actions GitLab CI Jenkins Elk CI-systeem

Volledige CI/CD-integratiehandleiding bekijken

Integraties

Werkt met uw bestaande tools

Jira

Maak direct issues aan voor kwetsbaarheden

Slack

Realtime kwetsbaarheidsmeldingen en termijnwaarschuwingen

GitHub

Synchronisatie van beveiligingsadviezen en repository-integratie

Dependency-Track

SBOM's importeren uit bestaande instanties

Microsoft Teams

Meldingen in uw Teams-kanalen

ENISA-termijnen

Automatische herinneringen na 24 u, 72 u, 14/30 dagen

Leveranciersportaal

Klantgerichte SBOM-deling met toegangscontrole

Generieke webhook

Gebeurtenissen verzenden naar elk HTTP-eindpunt

Beveiliging en vertrouwen

Gebouwd om vertrouwd te worden met uw compliance-gegevens

Toegangscontrole

Rolgebaseerde toegang

Owner-, Admin-, Member- en Viewer-rollen. Afgebakende API-sleutels met fijnmazige rechten.

SSO & MFA

SAML 2.0, Google & Microsoft OAuth, SCIM-provisioning. TOTP meervoudige verificatie.

Gegevensbescherming

Versleuteling

AES-256 in rust, TLS 1.3 tijdens overdracht. Argon2id-wachtwoordhashing.

Multi-tenancy

Volledige tenantisolatie. Elke query handhaaft organisatiegrenzen.

Observeerbaarheid

Controlelogregistratie

Volledige traceerbaarheid van alle acties. Bevraagbare audittrail met CSV-export.

Frequentiebeperking

Glijdend-venster frequentiebeperking voor inlog-, API- en upload-eindpunten.

Compliance

Inhoudsbeveiliging

Strikte CSP-headers, CSRF-bescherming, HTML-opschoning en HSTS.

10 jaar bewaarplicht

Productiegegevens worden 10 jaar bewaard conform CRA Art. 13. Bewaring op basis van niveaus.

Gratis tools

Niet zeker of de CRA op u van toepassing is?

Bepaal uw verplichtingen voordat u zich ergens voor aanmeldt. Deze tools zijn gratis en vereisen geen account.

CRA-toepasbaarheidscheck Wizard met 11 vragen om te bepalen of de Cyber Resilience Act van toepassing is op uw product. Omvat sectoruitzonderingen, connectiviteitsvereisten en productclassificatie.

CRA-rolquiz Ontdek of u onder de CRA fabrikant, importeur of distributeur bent. Verschillende rollen hebben verschillende verplichtingen.

Deelbare resultaten Deel uw resultaten met collega's of juridische teams via een unieke link. Beschikbaar in alle 8 Europese talen.

Probeer de CRA-toepasbaarheidscheck Gratis CRA-quiz proberen

Geen registratie vereist. Duurt ongeveer 2 minuten.

CRA Evidence Platform

Uw SBOM's, gevalideerd en versiebeheerd

Kwaliteitsscore

Afhankelijkheidsboom

Versieverschillen

Licentiecontrole

Detecteer nieuwe CVEs in minuten, niet in dagen

Bijlage VII-pakketten, beschikbaar wanneer nodig

Technisch bestandsexport

EU-conformiteitsverklaring

Compliance-rapporten

Beveiligingsdatablad

Certificaten

Meertalige documenten

Bijlage I-gereedheid

Artefact-ondertekening

Ondersteuningsperiode-tracking

Mis nooit meer een ENISA-deadline

Vroegtijdige waarschuwing

Gedetailleerde melding

Eindrapport

Gebouwd voor producten met hardwarecomponenten

Dashboards voor fabrikanten, importeurs en distributeurs

Product- en versiebeheer

Volledige artefact-pipeline

Kwetsbaarheden- en incidentbeheer

Generatie van technische bestanden

Klantmeldingen

Vertrouwensbadges

Tracking van conformiteitsbeoordeling

Digital Product Passports

Meertalige documenten

Artikel 19-verificatieworkflow

Fabrikantregister

Leveringsstopbeslissingen

Herverificatietriggers

Verificaties klonen

Verificatiedashboard

Art. 20 Zorgvuldigheidschecklist

CE-bewijs uploaden

Verificatiecertificaten

Leveringsstopacties

Portfolioweergave

Nalevingsvoortgang

Past in uw build-pipeline

Werkt met uw bestaande tools

Jira

Slack

GitHub

Dependency-Track

Microsoft Teams

ENISA-termijnen

Leveranciersportaal

Generieke webhook

Gebouwd om vertrouwd te worden met uw compliance-gegevens

Rolgebaseerde toegang

SSO & MFA

Versleuteling

Multi-tenancy

Controlelogregistratie

Frequentiebeperking

Inhoudsbeveiliging

10 jaar bewaarplicht

Niet zeker of de CRA op u van toepassing is?

Zie het in actie: genereer uw eerste SBOM in minuten