Poradnik ENISA o bezpiecznych aktualizacjach: przewodnik CRA

Poradnik techniczny ENISA o bezpiecznych aktualizacjach: obowiązki CRA z Załącznika I, 7 zagrożeń kanału aktualizacji i rola CERT Polska.

CRA Evidence Team Opublikowano 2 czerwca 2026 Zaktualizowano 3 czerwca 2026
Poradnik techniczny ENISA o bezpiecznych mechanizmach aktualizacji, projekt mapujący zagrożenia cyklu aktualizacji na kontrole dla producentów objętych CRA
W tym artykule

ENISA czeka na opinie do 10 lipca 2026 r. Jej drugi poradnik techniczny w obszarze bezpieczeństwa produktów, Secure Update Mechanisms, jest dostępny jako projekt, a konsultacje są już otwarte.

Oto dlaczego to ważne. Poradnik bierze wymóg dostarczania bezpiecznych aktualizacji z aktu o cyberodporności i rozkłada go na siedem kroków, każdy powiązany z realną awarią. Cztery z nich to ataki: SolarWinds, ASUS, Notepad++ i Trivy. Jeden, awaria CrowdStrike z 2024 r., to wadliwe wydanie, a nie atak. Następnie ENISA przypisuje każdemu krokowi kontrole, które obniżają prawdopodobieństwo lub skutek danego zagrożenia czy awarii. Ten przewodnik wyciąga to, czego potrzebuje mikro-, mały lub średni producent, wiąże to z obowiązkami CRA, dokłada nasz własny pogląd na narzędzia i priorytety oraz przeprowadza przez przykład termostatu, którym ENISA spina całość.

Najważniejsze informacje

  • ENISA opublikowała poradnik Secure Update Mechanisms jako projekt (wersja 0.1) w maju 2026 r. To druga pozycja w serii poświęconej bezpieczeństwu produktów, po poradniku Secure Use of Package Managers sfinalizowanym w marcu 2026 r.
  • Poradnik jest niezależny od technologii. Jest zgodny z The Update Framework (TUF), Uptane i NIST SP 800-40, ale żadnego z nich nie wymaga.
  • Modeluje cykl aktualizacji w 7 krokach w 3 domenach zaufania, wymienia zagrożenie na każdym kroku wraz z realnym incydentem i mapuje całość na 36 rekomendacji w 4 grupach.
  • Wiąże się wprost z obowiązkami aktualizacyjnymi z Załącznika I CRA: terminowe aktualizacje bezpieczeństwa, bezpieczna dystrybucja, aktualizacje rozpowszechniane bezzwłocznie, ochrona integralności oraz aktualizacje automatyczne z kontrolą po stronie użytkownika.
  • Poradnik nie jest poradą prawną ani domniemaniem zgodności. Nie mówi też, jak naprawić leżący u podstaw błąd.
  • Praktyczny przykład firmware termostatu pokazuje dwupoziomowe podpisywanie, podpisany manifest, wykrywanie po TLS, pięć kontroli po stronie urządzenia oraz atomową instalację A/B z wycofaniem.
  • Opinie zbierane są przez ankietę, termin 10 lipca 2026 r.
7
Kroków cyklu
Od budowy po zapis statusu
4
Modele dostarczania
Wbudowany, platforma, ręczny, etapowy
36
Rekomendacji
w 4 grupach kontroli
10 lip
Termin opinii
konsultacje publiczne 2026

Źródło: ENISA Technical Advisory on Secure Update Mechanisms, projekt wersja 0.1, maj 2026 r.

Czym poradnik jest, a czym nie jest

Poradnik techniczny ENISA o bezpiecznych mechanizmach aktualizacji to projekt datowany na maj 2026 r., oznaczony w nagłówkach stron jako wersja 0.1. Opublikowany plik nosi nazwę v0.6, co wygląda na literówkę. ENISA otworzyła go do konsultacji publicznych ankietą, która zamyka się 10 lipca 2026 r.

Adresatami są producenci produktów z elementami cyfrowymi, a w szczególności zespoły, które projektują, budują lub utrzymują mechanizmy aktualizacji. ENISA napisała poradnik dla mikro-, małych i średnich producentów, którzy chcą zrozumieć typowe zagrożenia aktualizacji i zastosować zestaw kontroli bez budowania dużego zespołu bezpieczeństwa.

Granice trzeba mieć jasne. ENISA wskazuje trzy z nich wprost.

Przeczytaj zastrzeżenie

Poradnik nie jest poradą prawną, formalną wykładnią CRA ani domniemaniem zgodności. Nie obejmuje też tego, jak opracować lub zweryfikować samą poprawkę, w tym analizy przyczyny źródłowej. Zgodność z Rozporządzeniem (UE) 2024/2847 pozostaje odpowiedzialnością producenta.

Poradnik daje za to wspólną mapę. Ten sam siedmiokrokowy cykl przebiega przez sekcję zagrożeń i sekcję kontroli, więc każda kontrola wskazuje z powrotem na zagrożenie, na które odpowiada.

Cykl aktualizacji w siedmiu krokach

ENISA opisuje każdą aktualizację, czy to firmware, plik binarny, łatkę różnicową, plik sygnatur, czy zmianę konfiguracji, jako przejście przez te same siedem kroków. Niesie je pięciu aktorów: producent (wytwórca), usługa publikacji, repozytorium aktualizacji, klient aktualizacji oraz urządzenie końcowe.

Siedem kroków przebiega przez trzy strefy zaufania. Domena zaufania producenta to miejsce, w którym aktualizacja jest budowana i podpisywana. Domena dystrybucji, obejmująca repozytoria i sieci CDN, traktowana jest jako mniej zaufana. Domena zaufania urządzenia to miejsce, w którym aktualizacja jest weryfikowana i instalowana.

Cykl aktualizacji oprogramowania w trzech domenach zaufania. Domena producenta: krok 1 budowa i podpis, zagrożona kompromitacją budowy lub klucza podpisującego (SolarWinds), krok 2 publikacja, zagrożona manipulacją metadanych lub ładunku (Trivy). Domena dystrybucji, mniej zaufana: krok 3 sprawdzanie aktualizacji, zagrożone przekierowaniem, powtórzeniem lub zamrożeniem (Notepad++), krok 4 pobranie, zagrożone podmianą ładunku (ASUS ShadowHammer). Domena urządzenia: krok 5 weryfikacja, zagrożona słabą lub brakującą weryfikacją, krok 6 instalacja, zagrożona wadliwą lub złośliwą instalacją (CrowdStrike), krok 7 zapis statusu, zagrożony awarią, która pozostaje niewykryta.
Siedem kroków aktualizacji, domena zaufania, w której każdy się znajduje, oraz realny incydent pokazujący, co idzie źle na danym kroku.

Najprzydatniejsza myśl w dokumencie kryje się za tym schematem.

Ufaj podpisowi, nie źródłu

Urządzenie jest wyposażone w główny klucz publiczny jako kotwicę zaufania. Aktualizacja jest akceptowana, ponieważ przechodzi weryfikację kryptograficzną, a nie ze względu na to, skąd została pobrana. Nawet jeśli sieć CDN lub serwer lustrzany zostanie skompromitowany, nieautoryzowana lub zmodyfikowana aktualizacja powinna zostać odrzucona na urządzeniu.

Jak aktualizacje naprawdę trafiają do urządzenia

Cykl jest wszędzie taki sam. Kto wykonuje każdy krok, już nie. ENISA nazywa cztery modele dostarczania, a model decyduje o tym, gdzie muszą mieszkać kontrole. Macierz poniżej pokazuje, kto wykonuje każdy krok, więc widać, które komórki należą do producenta.

Macierz czterech modeli dostarczania względem czterech kroków aktualizacji: wykrywanie, pobranie, weryfikacja i instalacja. W modelu wbudowanego aktualizatora produkt wykonuje wszystkie cztery kroki, więc wszystkie są odpowiedzialnością producenta. W modelu aktualizacji zarządzanej przez platformę zewnętrzna platforma wykonuje wszystkie cztery kroki. W modelu ręcznym poza pasmem użytkownik wykonuje wykrywanie, pobranie i instalację, a weryfikacja to kontrola budowana przez producenta. W modelu firmowym lub etapowym organizacja klienta wykonuje wykrywanie, pobranie i instalację, a weryfikacja jest dzielona między producenta a klienta. W każdym modelu za budowę i podpisywanie zawsze odpowiada producent.
Kto wykonuje każdy krok aktualizacji, w naszym odczytaniu czterech modeli dostarczania ENISA. ENISA opisuje modele, ale nie zestawia tego podziału w tabeli. Komórki w kolorze indygo to te, które producent buduje i posiada.

Przykłady, które podaje ENISA: model wbudowany obejmuje aktualizatory aplikacji desktopowych, aktualizatory wtyczek wewnątrz produktu oraz autoaktualizację przeglądarki. Model zarządzany przez platformę obejmuje sklepy z aplikacjami mobilnymi, repozytoria pakietów Linux, platformy MDM oraz sklepy z rozszerzeniami przeglądarki. Model ręczny poza pasmem obejmuje instalator ze strony producenta, łatkę przez bezpieczny portal lub paczkę przesłaną mailem. Model firmowy lub etapowy obejmuje etapowanie typu WSUS, firmowe serwery lustrzane, serwery zarządzania łatkami oraz transfer do sieci odizolowanej.

W prostych konstrukcjach ENISA opisuje urządzenie, które ufa głównemu kluczowi publicznemu plus jednemu operacyjnemu kluczowi podpisującemu. Bardziej zaawansowane konstrukcje stosują oddzielne role podpisujące, a wdrożenia o wyższym poziomie pewności dodają podpisy progowe, gdzie więcej niż jeden posiadacz klucza musi zatwierdzić wrażliwą zmianę. TUF i Uptane formalizują ten podział ról. Aby spełnić poziom bazowy, nie trzeba przyjmować żadnego z nich.

Siedem sposobów na atak kanału aktualizacji

Tę część przeczytaj dwa razy. ENISA przechodzi każdy krok cyklu, podaje zagrożenie, skutek i realny incydent. Wzorzec jest spójny: kompromitacja wczesna w łańcuchu pozostaje niewidoczna, jeśli późniejsze kroki traktują wszystko jako normalne. Tabela poniżej to sekcja 3 poradnika w skrócie, z dodaną podstawową kontrolą z sekcji 4.

KrokCo idzie źleRealny incydentPodstawowa kontrola
1. Budowa i podpisKompromitacja potoku budowy lub kluczy podpisujących, złośliwy kod osadzony w podpisanych artefaktachSolarWinds: złośliwy kod wstrzyknięty do środowiska budowy i dostarczony w podpisanych aktualizacjachZaufane środowisko budowy, ochrona klucza w HSM, pochodzenie
2. PublikacjaMetadane lub ładunki aktualizacji zmanipulowane podczas publikacji, prawidłowe pliki podmienione lub wstrzymaneTrivy: procesy wydania i dystrybucji zaatakowane, by przepchnąć skompromitowane artefakty przez zaufane kanałyWalidacja przedwydaniowa, kontrolowany proces wydania, integralność metadanych
3. Sprawdzanie aktualizacjiPrzekierowanie, przejęcie DNS, fałszywe usługi aktualizacji, powtórzenie starych metadanych lub ataki zamrożenia ukrywające nowsze poprawkiNotepad++: wykrywanie aktualizacji przejęte tak, że wybrani użytkownicy łączyli się ze źródłem kontrolowanym przez atakującegoZaufane źródło aktualizacji, walidacja świeżości metadanych
4. PobraniePobieranie zakłócone, złośliwe lub uszkodzone artefakty dostarczone z repozytoriów, serwerów lustrzanych lub CDNASUS Live Update (ShadowHammer, 2019): złośliwe artefakty przepchnięte przez normalny kanał pobierania do wybranych użytkownikówSilne zabezpieczenie transportu (TLS), traktowanie CDN jako niezaufanych, kontrola integralności
5. WeryfikacjaSłaba lub brakująca kontrola podpisu, łańcucha zaufania, skrótu, wersji lub zgodności przepuszcza złe aktualizacje jako prawidłoweNotepad++ później wzmocnił weryfikację instalatora po przejęciuWeryfikacja podpisu, wymuszanie integralności, zabezpieczenie przed wycofaniem
6. InstalacjaZłośliwy kod działa z podwyższonymi uprawnieniami albo wadliwa aktualizacja psuje urządzenieAwaria CrowdStrike Falcon (2024): wadliwa, niezłośliwa aktualizacja spowodowała powszechne awarieInstalacja atomowa, testy bezpiecznej aktualizacji, odzyskiwanie i wycofanie
7. Zapis statusuLogowanie, monitorowanie lub alarmowanie nieobecne, wyłączone lub stłumione, więc problemy pozostają niezauważoneAwaria CrowdStrike pokazała, dlaczego szybki wgląd w awarie i dotknięte urządzenia ma znaczenie przy dużej skaliZapis statusu aktualizacji, bezpieczne logowanie, raportowanie awarii

Model zagrożeń przyjęty przez ENISA jest szeroki. Atakujący mogą celować w potoki budowy, klucze podpisujące, usługi publikacji, repozytoria, CDN, DNS, powtórzenie metadanych, stan aktualizacji po stronie klienta lub w sam proces instalacji. Połączenie przypadków złośliwych (SolarWinds, ASUS) z jednym niezłośliwym (CrowdStrike) jest zamierzone. Bezpieczny mechanizm aktualizacji musi przetrwać i atakującego, i złe wydanie.

STRIDE w skrócie

Aneks 1 poradnika mapuje zagrożenia na kategorie Microsoft STRIDE. To mapowanie poglądowe, nie wyczerpujące, a kilka zagrożeń obejmuje więcej niż jedną kategorię. Przy jednej w tym roku sesji modelowania zagrożeń ta tabela posłuży za agendę: przejść kanał aktualizacji etap po etapie i zapytać, która kategoria STRIDE gryzie najmocniej na każdym z nich. Dla szczupłego zespołu wiersze Manipulacja i Podszywanie się na krokach Pobranie i Sprawdzanie zasługują na najwięcej czasu, bo tam wylądowały ataki ASUS i Notepad++.

Etap cyklu Kategorie STRIDE
Budowa / pakowanie / ustanowienie zaufania Manipulacja, Podszywanie się, Eskalacja uprawnień
Publikacja Manipulacja, Podszywanie się, Odmowa usługi
Sprawdzanie aktualizacji Podszywanie się, Manipulacja, Odmowa usługi
Pobranie Manipulacja, Podszywanie się, Odmowa usługi
Weryfikacja Podszywanie się, Manipulacja
Instalacja Eskalacja uprawnień, Manipulacja, Odmowa usługi
Zapis statusu Wyparcie się, Manipulacja, Odmowa usługi

Kontrole pogrupowane tak, jak grupuje je ENISA

Sekcja 4 zbiera kontrole w cztery etapy i dostraja je do poradnika ENISA Secure by Design and Default. Pełny poradnik wymienia 36 nazwanych rekomendacji. Tabele poniżej zatrzymują te o najwyższej wartości na każdym etapie. Pełny zestaw można znaleźć w źródle.

Przygotowanie i publikacja

Ten etap obejmuje budowanie, autoryzowanie i publikowanie aktualizacji oraz jej metadanych.

Rekomendacja Co oznacza
Bezpieczne praktyki podpisywania Podpisuj metadane aktualizacji silną kryptografią i wiąż artefakt z tymi metadanymi.
Ochrona i zarządzanie kluczami Przechowuj klucze podpisujące w HSM, ogranicz dostęp, rozdziel role kluczy oraz rotuj lub unieważniaj przy podejrzeniu kompromitacji.
Pochodzenie i identyfikowalność Utrzymuj identyfikowalność od źródła do wydania. Zespoły o wyższym poziomie pewności stosują pochodzenie SLSA lub atestacje in-toto.
Sprawdzenie zależności Sprawdzaj komponenty zewnętrzne i zależności pod kątem znanych podatności przed wydaniem. Zasila to SBOM produktu.
Struktura aktualizacji Projektuj wydania tak, by aktualizacje bezpieczeństwa były dostarczane niezależnie od zmian funkcjonalnych i tam, gdzie to możliwe, instalowały się automatycznie domyślnie.
Powiązanie z poradnikiem bezpieczeństwa Wydawaj aktualizację z jasną informacją o podatności, jej powadze i sposobie usunięcia, by użytkownicy rozumieli pilność.
Testy bezpiecznego zachowania aktualizacji Testuj, czy aktualizacje instalują się bez psucia urządzenia oraz czy wycofanie lub odzyskiwanie działa przy awarii.

Wykrywanie i pobranie

Ten etap decyduje, jak klienci znajdują i pobierają aktualizacje bez przekierowania ani podsuwania nieaktualnych danych.

Rekomendacja Co oznacza
Zaufane źródło aktualizacji Pozyskuj informacje o aktualizacjach wyłącznie z autoryzowanych, uwierzytelnionych punktów końcowych.
Silne zabezpieczenie transportu Używaj TLS do wykrywania i pobierania, bez powrotu do protokołów niezabezpieczonych.
Rozdzielenie domen zaufania Traktuj CDN, serwery lustrzane i pośredników jako niezaufanych. Ich kompromitacja nie może wystarczyć do przepchnięcia zmodyfikowanej aktualizacji.
Walidacja świeżości metadanych Stosuj wygaśnięcie, znacznik czasu, wersję lub monotoniczne numery sekwencyjne, by odrzucać nieaktualne, powtórzone lub zamrożone metadane.
Wsparcie dla automatycznego pobierania Włącz automatyczne wykrywanie i pobieranie domyślnie, z kontrolą pozwalającą odroczyć, lecz nie zablokować krytycznych aktualizacji bezpieczeństwa.

Weryfikacja i instalacja

To główny punkt decyzji o zaufaniu. Jeśli zawiedzie, wcześniejsze kompromitacje stają się prawidłowymi aktualizacjami.

  1. Weryfikacja podpisu. Zweryfikuj autentyczność metadanych i potwierdź, że artefakt jest z nimi kryptograficznie związany.
  2. Walidacja zgodności. Potwierdź przed instalacją, że aktualizacja pasuje do tego produktu, wersji i konfiguracji.
  3. Wymuszanie integralności. Sprawdź skrót artefaktu i odrzuć każdą uszkodzoną lub zmodyfikowaną zawartość przed instalacją.
  4. Kontrola wersji i zabezpieczenie przed wycofaniem. Blokuj instalację starszych lub nieautoryzowanych wersji za pomocą liczników wycofania lub monotonicznych numerów sekwencyjnych.
  5. Autoryzowany kontekst instalacji. Tylko zaufane, autoryzowane komponenty mogą uruchomić i przeprowadzić instalację, z ograniczeniem najmniejszych uprawnień. To kontrola na zagrożenie podwyższonych uprawnień na kroku instalacji.
  6. Atomowe zachowanie aktualizacji. System przechodzi w pełni do nowej wersji albo bezpiecznie pozostaje na poprzedniej, z odzyskiwaniem przy awarii.

Obserwowalność i odzyskiwanie

Ten etap zapisuje wyniki, ujawnia awarie i pozwala urządzeniu się odzyskać.

Rekomendacja Co oznacza
Zapis statusu aktualizacji Zapisuj wynik każdej operacji: sukces, awarię, wycofanie lub instalację częściową.
Bezpieczne logowanie Chroń logi aktualizacji przed manipulacją i nieautoryzowanym dostępem.
Raportowanie awarii integralności Wykrywaj i zgłaszaj awarie walidacji podpisu, integralności lub metadanych.
Odzyskiwanie i wycofanie Odzyskuj po nieudanych aktualizacjach, w tym powrotem do znanej, dobrej wersji.
Odzyskiwanie kotwicy zaufania i kluczy Wspieraj bezpieczną rotację lub wymianę kluczy podpisujących przy kompromitacji.

Jak zespoły budują to z narzędziami open source

ENISA utrzymuje poradnik niezależnym od technologii i wymienia frameworki oraz wytyczne takie jak TUF, Uptane, SLSA, in-toto i NIST SP 800-40, bez polecania konkretnych narzędzi. To słuszna decyzja dla regulatora, ale zostawia otwarte pytanie praktyczne. Mapowanie poniżej jest nasze, nie ENISA. Żadne z tych narzędzi nie jest certyfikatem zgodności. One realizują inżynierię. Dowody nadal należą do producenta.

Grupa kontroli Narzędzia i frameworki open source Co dają
Budowa, pochodzenie, sprawdzenie zależności Syft, Grype, Trivy i OSV-Scanner, plus framework SLSA z atestacjami in-toto (tworzonymi przez narzędzia takie jak Tekton Chains czy generatory SLSA) Generują SBOM, skanują zależności pod kątem znanych podatności i tworzą podpisane pochodzenie budowy od źródła do artefaktu.
Podpisywanie metadanych i artefaktów Sigstore (cosign), The Update Framework (python-tuf, go-tuf), Notary / Notation Podpisują metadane aktualizacji i wiążą z nimi artefakt. Sigstore dodaje publiczny dziennik przejrzystości. TUF dodaje role podpisujące i metadane świeżości.
Ochrona kluczy podpisujących SoftHSM do testów oraz Sigstore Fulcio i Rekor do podpisywania bezkluczowego, wsparte sprzętowym HSM PKCS#11 lub chmurowym KMS dla kluczy produkcyjnych Trzymają klucze podpisujące poza maszynami budowy i prowadzą zapis tego, co i kiedy podpisano.
Klienci aktualizacji na urządzeniu Mender, RAUC, SWUpdate, OSTree Weryfikują podpisaną aktualizację na urządzeniu, instalują do redundantnego slotu lub wdrożenia i wycofują przy awarii. To, jak aktualizacja dociera do urządzenia, zależy od sposobu ich integracji.
Orkiestracja i frameworki wdrażania Eclipse hawkBit (wdrażanie po stronie serwera do floty), Uptane (motoryzacyjny framework bezpiecznych aktualizacji) Zarządzają i etapują dostarczanie do wielu urządzeń. To nie są instalatory na urządzeniu.
Powiązanie z poradnikiem i usuwaniem podatności OpenVEX, CSAF, CycloneDX VEX Publikują maszynowo czytelne oświadczenia o podatności i możliwości wykorzystania obok aktualizacji.
Nasz pogląd: nie buduj aktualizatora od zera

Dla produktu wbudowanego utrzymywany framework A/B taki jak Mender, RAUC, SWUpdate czy OSTree daje podpisane obrazy, weryfikację na urządzeniu, instalację atomową i wycofanie, gdy zostanie skonfigurowany pod dany model aktualizacji. To pokrywa większość kroków 4 do 7 w zależności, której nie trzeba utrzymywać samodzielnie. Przykład termostatu poniżej czyta się jak ręcznie sklejona wersja tego, co te narzędzia zapewniają po skonfigurowaniu. Wysiłek warto poświęcić na ochronę kluczy i pochodzenie budowy, czyli części, których żaden aktualizator nie wręcza za darmo.

Buduj aktualizator w kolejności zależności

Ta część to nasza wskazówka, nie ENISA. Jedno zastrzeżenie na wstępie: to nie jest skrócona lista, na której można poprzestać. CRA wymaga każdego zasadniczego wymagania w zakresie cyberbezpieczeństwa, które ma zastosowanie do danego produktu, na podstawie oceny ryzyka z Załącznika I, więc celem jest pełny zestaw kontroli. To, co następuje, to kolejność, w jakiej my byśmy je budowali, by mały zespół nie był sparaliżowany 36 rekomendacjami. Fundament nadaje sens późniejszym kontrolom, więc kolejność ma znaczenie.

  1. Podpisz metadane i weryfikuj na urządzeniu. Wyposaż urządzenie w główną kotwicę zaufania i sprawdzaj podpis, zanim cokolwiek się zainstaluje. Zrób to najpierw, bo każda inna kontrola zakłada, że urządzenie przyjmuje tylko autentyczne aktualizacje. Bez tego reszta jest dekoracją.
  2. Zabezpiecz transport. TLS do wykrywania i pobierania oraz traktowanie każdej CDN czy serwera lustrzanego jako niezaufanych. To w większości konfiguracja, więc jest tania, i zamyka atak na pobranie typu ASUS.
  3. Dodaj kontrole skrótu i zgodności. Drobne dodatki na kroku weryfikacji: potwierdź, że skrót artefaktu zgadza się z podpisanym manifestem i że aktualizacja pasuje do tego modelu i wersji. Niski nakład, gdy podpisywanie już działa.
  4. Zaplanuj zabezpieczenie przed wycofaniem wcześnie. To najtrudniejsza kontrola do dorobienia później, bo potrzebuje chronionego stanu licznika i współpracy bootloadera, więc zaplanuj ją teraz, choć ląduje później. To obrona przed zamrożeniem i obniżeniem wersji, którą ENISA podkreśla najmocniej.
  5. Uczyń instalacje atomowymi, z wycofaniem. A/B lub sloty redundantne, by złe wydanie (tryb awarii CrowdStrike) nie zamieniło urządzenia w cegłę. To duży wysiłek, gdy robione ręcznie, dlatego zwykle wygrywa tu utrzymywany framework.
  6. Zapisuj i raportuj wyniki. Odporny na manipulację log aktualizacji i raportowanie awarii pozwalają wykryć problem i udowodnić, co się stało. To także podstawa dowodów CRA producenta.

Przykład praktyczny: wysyłka łatki do termostatu

ENISA kończy konkretnym przykładem i jest to najklarowniejsza część dokumentu. Wbudowany termostat IoT w wersji 1.0.0 potrzebuje aktualizacji bezpieczeństwa łatającej EUVDB-202X-Y, błąd walidacji wejścia. Urządzenie używa aktualizatora wbudowanego. Przykład jest poglądowy, nie uniwersalnym schematem.

Producent prowadzi dwa poziomy podpisywania. Główny urząd podpisujący pozostaje offline i autoryzuje operacyjny klucz podpisujący producenta używany do rutynowych wydań. Ten podział pozwala rotować klucz producenta bez zmiany głównej kotwicy zaufania urządzenia.

Urządzenie jest dostarczane z częściami pokazanymi poniżej.

Szkic termostatu po lewej, pokazujący pokrętło na aktualnym firmware v1.0.0, dwa sloty firmware slot_a i slot_b, obszar staging na niezweryfikowane pobrania oraz aktualizację nadchodzącą po TLS. Po prawej sześć komponentów. root_public.pem to kotwica zaufania ustawiona przy produkcji, weryfikuje klucze podpisujące. vendor_public.pem weryfikuje podpisane metadane aktualizacji i jest rotowalny przez aktualizację. slot_a i slot_b to dwa sloty firmware do aktualizacji A/B. staging to obszar przechowywania niezweryfikowanych pobrań. rollback_counter to chroniony stan zabezpieczenia przed wycofaniem w pamięci nieulotnej. ca.pem to magazyn zaufania TLS, który waliduje certyfikat serwera aktualizacji.
Co jest dostarczane wewnątrz urządzenia i jak aktualizacja przybywa, zanim zostanie sprawdzona.

Przygotowanie. Budowa działa w kontrolowanym środowisku, tylko z autoryzowanym kodem i zależnościami. SBOM jest generowany i sprawdzany pod kątem podatności. Producent tworzy podpisany manifest.json niosący skrót SHA-256 i rozmiar pliku, obowiązujący produkt i wersję, pola świeżości i zabezpieczenia przed wycofaniem (znacznik czasu, wygaśnięcie, licznik wycofania) oraz informacje z poradnika bezpieczeństwa (powaga, adres URL poradnika). Zmiana paczki na poziomie bajtu daje inny skrót, wychwytywany na urządzeniu.

openssl dgst -sha256 -sign keys/vendor_private.pem \
  -out repo/manifest.json.sig repo/manifest.json

Wykrywanie. Termostat sprawdza aktualizacje po TLS, walidując certyfikat serwera względem ca.pem. Pola update_type i severity pozwalają mu odróżnić aktualizację bezpieczeństwa od rutynowego wydania i odpowiednio powiadomić użytkownika. Pobrania lądują w staging, więc utrata zasilania w trakcie pobierania nigdy nie dotyka działającego firmware.

curl --tlsv1.2 --cacert /etc/ssl/certs/ca.pem \
  https://updates.acme.com/device/manifest.json -o manifest.json

Weryfikacja i instalacja. Przed instalacją urządzenie przeprowadza pięć kontroli w kolejności. Jeśli którakolwiek zawiedzie, przerywa.

Pięć kontroli przeprowadzanych w kolejności przed instalacją aktualizacji, a każda awaria przerywa i zachowuje aktualny firmware. Kontrola 1 zaufanie do klucza podpisującego: główny klucz potwierdza, że klucz producenta jest autoryzowany. Kontrola 2 podpis: klucz producenta weryfikuje podpis manifestu. Kontrola 3 skrót: SHA-256 artefaktu zgadza się z manifestem. Kontrola 4 zabezpieczenie przed wycofaniem: licznik wycofania w manifeście jest co najmniej równy licznikowi urządzenia. Kontrola 5 zgodność: model, wersja, znacznik czasu i konfiguracja pasują. Jeśli wszystkie pięć przejdzie, firmware zapisuje się do nieaktywnego slotu i aktywuje atomowym przełączeniem A/B. Jeśli którakolwiek kontrola zawiedzie, aktualizacja przerywa, a działający firmware pozostaje nietknięty.
Aktualizacja musi przejść wszystkie pięć kontroli, zanim dotknie aktywnego firmware.

Kontrola zabezpieczenia przed wycofaniem niesie największą wagę. Licznik wycofania urządzenia rośnie dopiero, gdy nowy firmware wystartuje i przejdzie kontrole stanu, więc nieudana lub złośliwa aktualizacja nie może po cichu podnieść poziomu i zablokować późniejszej poprawki. Po sukcesie firmware zapisuje się do nieaktywnego slotu i aktywuje atomowym przełączeniem slotu, więc znana, dobra wersja zawsze pozostaje. Obserwowalność zapisuje każdą próbę w pliku update.log z ograniczonymi uprawnieniami, ze znacznikiem czasu i statusem. Jeśli klucz producenta kiedykolwiek zostanie skompromitowany, producent podpisuje i wysyła nowy klucz producenta, który główny klucz autoryzuje. Główny klucz nigdy nie jest aktualizowany przez ten kanał. Kompromitacja głównego klucza wymaga osobnego bezpiecznego procesu, takiego jak przywrócenie ustawień fabrycznych.

Co to oznacza dla dokumentacji CRA producenta

Ostatnia tabela poradnika łączy każdą deklarację bezpieczeństwa z przykładowym dowodem i artefaktami. To mapowanie jest mostem do dokumentacji technicznej. Dokumentacja techniczna CRA wymaga obu rzeczy: opisu rozwiązania bezpiecznej aktualizacji (Załącznik VII) oraz dowodów stojących za nim, w tym zestawienia podstawowych materiałów do produkcji oprogramowania (SBOM) i raportów z testów. Opis bez niczego za sobą to słaby punkt.

Nasz pogląd: zacznij od dowodów, nie od kontroli

To nasz pogląd, nie ENISA. Dla małej firmy z ograniczonym czasem to ta tabela jest częścią poradnika, na której trzeba działać najpierw. Dokumentacja techniczna CRA (Artykuł 31 i Załącznik VII) wymaga opisu rozwiązania aktualizacji plus dowodów za nim: raportów z testów, SBOM i artefaktów. Opis potrafi napisać większość zespołów. Trudniejsze pytanie brzmi, czy producent potrafi dziś przedstawić dowód dla każdej deklaracji. Tam włożylibyśmy pierwszą godzinę.

Deklaracje bezpieczeństwa z przykładu i dowody, które stoją za każdą z nich, wyglądają tak.

Co można zadeklarować Dowód do zachowania
Aktualizacji można zaufać (pochodzenie i skład) Logi budowy, SBOM, wyniki SCA, zapisy CI/CD
Chroniona przed nieautoryzowanym wydaniem lub podszyciem Podpisany manifest, główny i producencki klucz publiczny, logi podpisywania
Poprawki bezpieczeństwa wdrażają się bez opóźnienia operacyjnego Noty wydania tylko o bezpieczeństwie, pola manifestu
Kanał aktualizacji jest uwierzytelniony i prywatny ca.pem, ustawienia TLS
Chroniona przed zamrożeniem na podatnej wersji Kontrole świeżości, wygaśnięcie, logi walidacji wersji
Weryfikowana przed aktywacją, chroniona przed obniżeniem wersji Klucze publiczne, pliki podpisów, stan zabezpieczenia przed wycofaniem
Awarie są wykrywane i odwracalne update.log, logi kontroli stanu, zapisy wycofań

Każdy wiersz wspiera jedno lub więcej wymagań z Załącznika I CRA, od integralności i bezpiecznej dystrybucji po monitorowanie i dostępność. Szczegóły na poziomie artykułów znajdują się w wymaganiach CRA dotyczących aktualizacji bezpieczeństwa.

Jeśli prawej kolumny nie da się dziś przedstawić, ta luka pozostaje zadaniem producenta. Zapis VEX i sprawdzenie zależności oparte na SBOM pokrywają dwa z tych wierszy wprost. Analiza dostawców pokrywa wiersz zaufania do budowy dla komponentów napisanych poza zespołem.

Często zadawane pytania

Czy poradnik ENISA o bezpiecznych mechanizmach aktualizacji jest obowiązkowy?

Nie. To projekt poradnika technicznego, nie porada prawna, a ENISA wskazuje, że nie jest on domniemaniem zgodności. Wiążące obowiązki leżą w CRA, głównie w wymaganiach aktualizacyjnych Załącznika I. Poradnik pomaga je spełnić w praktyce, ale organ nadzoru rynku ocenia producenta względem Rozporządzenia (UE) 2024/2847, a nie względem tego dokumentu. W Polsce funkcjonuje też CERT Polska, krajowy zespół CERT (CSIRT) prowadzony przez NASK, lecz wiążące obowiązki wynikają z samego CRA.

Czym to się różni od poradnika ENISA Secure by Design?

Poradnik Secure by Design and Default obejmuje cały produkt w 22 zasadach i pełnym cyklu życia. Ten poradnik wchodzi w jeden podsystem, kanał aktualizacji, i idzie w głąb jego siedmiu kroków, zagrożeń i kontroli. Poradnik ogólny warto czytać dla zasad obejmujących cały produkt, a ten poradnik przy projektowaniu lub audycie samego aktualizatora.

Które wymagania CRA spełnia bezpieczny mechanizm aktualizacji?

Bezpieczny mechanizm aktualizacji to sposób spełnienia obowiązków aktualizacyjnych CRA z Załącznika I. W prostych słowach pozwala producentowi pokazać, że potrafi szybko wysyłać poprawki bezpieczeństwa, dostarczać je kanałem odpornym na manipulację, chronić je przed uszkodzeniem, umożliwić użytkownikom odbiór automatyczny z zachowaniem części kontroli oraz informować użytkowników, kiedy aktualizacja ma znaczenie. Kontrole budowy, dystrybucji, weryfikacji i odzyskiwania z tego poradnika odpowiadają każdej z tych rzeczy. Szczegóły na poziomie artykułów znajdują się w wymaganiach CRA dotyczących aktualizacji bezpieczeństwa.

Czy muszę wdrożyć TUF lub Uptane?

Nie. Poradnik jest niezależny od technologii i mówi tylko, że jego rekomendacje są zgodne z TUF, Uptane i NIST SP 800-40. Poziom bazowy to kotwica zaufania urządzenia, podpisane metadane, weryfikacja na urządzeniu oraz zabezpieczenie przed wycofaniem. TUF i Uptane formalizują wiele ról podpisujących i metadane świeżości dla konstrukcji o wyższym poziomie pewności, więc warto je przyjąć, jeśli wymaga tego profil ryzyka produktu.

Czym jest zabezpieczenie przed wycofaniem i dlaczego poradnik je podkreśla?

Zabezpieczenie przed wycofaniem powstrzymuje atakującego przed zmuszeniem urządzenia z powrotem na starszą, podatną, ale wciąż prawidłowo podpisaną wersję. To atak zamrożenia lub obniżenia wersji i pojawia się na krokach sprawdzania, weryfikacji i instalacji. Przykład termostatu używa licznika wycofania trzymanego w chronionej pamięci i zwiększanego dopiero, gdy nowy firmware wystartuje i przejdzie kontrole stanu. Bez tego podpisana, ale stara aktualizacja przechodzi przez weryfikację podpisu.

Jak przesłać opinię do ENISA?

ENISA zbiera opinie przez publiczną ankietę, z terminem 10 lipca 2026 r. Projekt poradnika w PDF jest dostępny na stronie ENISA, gdzie publikowany jest też link do ankiety. Dla producenta wysyłającego aktualizacje do produktów z elementami cyfrowymi rzeczywisty model dostarczania to dokładnie to, o co ENISA poprosiła producentów.

Następne kroki

Co zrobić przed terminem 10 lipca

  1. Narysuj własną wersję siedmiokrokowego schematu dla jednego realnego produktu. Zaznacz, który z czterech modeli dostarczania jest w użyciu i które kroki faktycznie podlegają kontroli producenta.
  2. Przejdź tabelę siedmiu zagrożeń względem tego produktu. Dla każdego wiersza zapisz kontrolę dostępną dziś oraz dowód możliwy do pokazania, używając wymagań CRA dotyczących aktualizacji bezpieczeństwa jako listy kontrolnej.
  3. Zamknij najpierw dwie najłatwiejsze luki w dowodach: wygeneruj SBOM w potoku budowy i postaw zapisy VEX do powiązania z poradnikiem bezpieczeństwa.
  4. Jeśli konstrukcja produktu nie ma zabezpieczenia przed wycofaniem lub instalacji atomowej, oceń utrzymywany framework aktualizacji (Mender, RAUC, SWUpdate, OSTree), zanim powstanie własna implementacja. To najtrudniejsza kontrola do dorobienia później i ta, którą ENISA podkreśla najmocniej.

Ten artykuł służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. W celu uzyskania konkretnych wskazówek dotyczących zgodności, skonsultuj się z wykwalifikowanym prawnikiem.

CRA Bezpieczeństwo ENISA Łańcuch Dostaw Secure by Design
Share

Powiązane artykuły

Powrót do wszystkich artykułów

Czy CRA dotyczy Twojego produktu?

Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.

Sprawdź teraz

Gotowy na osiągnięcie zgodności z CRA?

Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.

Rozpocznij 14-dniowy bezpłatny okres próbny

Szczegółowe omówienie zagadnień CRA

Stale aktualizowane przewodniki po wymaganiach, procesach i rolach określonych przez akt o cyberodporności (CRA).

Deklaracja zgodności UE

Co musi zawierać Deklaracja zgodności, kto ją podpisuje i kiedy jest wymagana.

Przeczytaj przewodnik →
Ocena zgodności

Jak działa ocena zgodności w ramach CRA i kiedy wymagana jest jednostka notyfikowana.

Przeczytaj przewodnik →
Dokumentacja techniczna

Co musi zawierać dokumentacja techniczna CRA (Załącznik VII sekcja po sekcji) i jak producenci powinni ją strukturyzować.

Przeczytaj przewodnik →
Wymagania SBOM

Czego CRA wymaga w zakresie SBOM i jak BSI TR-03183 definiuje kryteria jakości.

Przeczytaj przewodnik →
Zgłaszanie podatności

Jak działa wymóg powiadamiania ENISA w ciągu 24 godzin i co liczy się jako aktywnie wykorzystywana podatność.

Przeczytaj przewodnik →
Obowiązki importera

Czego artykuł 19 wymaga od importerów i jak weryfikować zgodność producenta.

Przeczytaj przewodnik →
Planowanie okresu wsparcia

Co oznacza obowiązek okresu wsparcia CRA dla aktualizacji zabezpieczeń i planowania końca życia.

Przeczytaj przewodnik →
Zobacz pełny przewodnik zgodności z CRA