Platforma zgodności z CRA dla
producentów, importerów i dystrybutorów.

Oprogramowanie do zgodności z Cyber Resilience Act (CRA): SBOM, procesy obsługi podatności, raportowanie ENISA i dokumentacja techniczna. Wszystko w jednym miejscu.

Zarządzanie artefaktami

Twoje SBOM — zwalidowane i wersjonowane

Wgraj plik CycloneDX lub SPDX. Walidujemy go względem kryteriów jakości BSI TR-03183, oceniamy jego kompletność i przechowujemy dokumentację gotową do audytu dla każdej wersji produktu.

CycloneDX i SPDX Format jest automatycznie wykrywany podczas przesyłania. Walidacja schematu CycloneDX 1.6, parsowanie SPDX 2.2+.
Ocena jakości TR-03183 Metryki ważone dla kompletności PURL, haszy, dostawcy, licencji i wersji.
Obsługa HBOM i VEX Ekstrakcja Hardware Bill of Materials i Vulnerability Exploitability eXchange z CycloneDX.
Wizualizacja grafu zależności Interaktywne drzewo komponentów Mermaid.js z rozwijaniem zależności tranzytywnych i nawigacją przez kliknięcie.
Porównywanie wersji i wykrywanie zmian Porównuj SBOM między wersjami. Wykrywaj nowe, usunięte i zmodyfikowane komponenty.
Tworzenie VEX Twórz i publikuj oświadczenia VEX (Vulnerability Exploitability eXchange) bezpośrednio w aplikacji. Eksportuj jako CycloneDX VEX.
CycloneDX SPDX HBOM VEX SARIF

Ocena jakości

Automatyczna ocena zgodności ze standardem BSI TR-03183 z rekomendacjami ulepszeń.

Drzewo zależności

Wizualizuj zależności bezpośrednie i tranzytywne z wykrywaniem zależności cyklicznych.

Porównywanie wersji

Porównuj SBOM między wersjami. Śledź, co się zmieniło i dlaczego.

Sprawdzanie licencji

Identyfikuj problematyczne kombinacje licencji w Państwa komponentach.

Skanowanie Podatności

Znajdź podatności, zanim zrobią to regulatorzy

Każdy SBOM jest skanowany w wielu bazach danych podatności — NVD przez Trivy i OSV.dev (agregujący ostrzeżenia bezpieczeństwa z GitHub, Go, Rust i PyPI). Każde znalezisko jest wzbogacane o EPSS (Exploit Prediction Scoring System) z FIRST.org w celu oszacowania rzeczywistego prawdopodobieństwa wykorzystania w ciągu następnych 30 dni — dzięki czemu naprawiasz to, co atakujący faktycznie biorą na cel, a nie tylko to, co ma najwyższy wynik CVSS. Wersje produkcyjne i stagingowe są automatycznie ponownie skanowane, gdy bazy danych podatności się aktualizują, a wszystkie znaleziska są porównywane z katalogiem CISA Known Exploited Vulnerabilities.

Śledzenie naprawy Pięcioetapowy cykl życia podatności: rozpoczęcie, naprawa, weryfikacja, wydanie. Śledzenie statusu dla każdej dotkniętej wersji.
Zarządzanie wyciszaniem Wyciszaj fałszywe alarmy z uzasadnieniem, datami wygaśnięcia i procesami zatwierdzania.
Analiza osiągalności Oznaczaj komponenty jako osiągalne lub nieosiągalne, aby priorytetyzować to, co naprawdę ma znaczenie.
Komunikaty CSAF Pełny cykl życia komunikatów bezpieczeństwa: import, walidacja, publikacja. Od szkicu do wersji końcowej z porównywaniem semantycznym. Zgodne z Art. 11 CRA.
Wykrywanie z wielu źródeł Porównanie krzyżowe Trivy + OSV.dev. Jeśli jeden skaner przeoczy CVE, drugi go wykryje. Dwukierunkowa deduplikacja zapewnia brak duplikatów.
Zautomatyzowany przepływ pracy VEX Triage decisions auto-generate draft VEX statements — suppressions, dismissals, and remediation status changes all feed the VEX bridge. Batch review and publish with one click. Export CycloneDX 1.6-compliant VEX per version.
Śledzenie pokrycia VEX Dowiedz się dokładnie, jaki procent ocenionych podatności ma opublikowane oświadczenia VEX. Metryka pokrycia łączy decyzje o wyciszeniu, status naprawy i tworzenie VEX w jedną liczbę gotową do audytu.

Co dzieje się po przesłaniu pliku

Dashboard Zdarzeń Bezpieczeństwa CRA Evidence pokazujący śledzenie podatności i incydentów z terminami powiadomień ENISA, poziomami powagi i analizą wpływu na poszczególne produkty Kliknij, aby powiększyć
Import SARIF Analiza firmware Obsługa VEX OSV.dev Ocena EPSS

Skanery tylko NVD vs. CRA Evidence

Możliwość Tylko NVD CRA Evidence
Coverage Ogólne CVE NVD + GitHub + Go + Rust + PyPI
Analiza exploitów CVSS (tylko ważność) EPSS (rzeczywiste prawdopodobieństwo)
Alerty CISA KEV Automatic
Częstotliwość aktualizacji Codzienna Ciągła (zsynchronizowana z OSV.dev)
Dopasowanie wersji ekosystemu Oparty na CPE npm, Maven, Go, Cargo, NuGet, Gem
Obsługa VEX Eksport ręczny (jeśli w ogóle) Auto-szkic z triażu → Przegląd → Publikacja
Dokumentacja techniczna

Dokumentacja Techniczna Naprawdę Gotowa na CRA

Artykuł 13 stanowi, że dokumentację techniczną należy przechowywać przez 10 lat po wprowadzeniu produktu na rynek. Generujemy pakiety Załącznik VII, certyfikaty i raporty zgodności, abyś nie był w rozsypce, gdy zapuka organ nadzoru rynku.

Eksport Dokumentacji Technicznej

Jeden ZIP ze wszystkim: manifest czytelny maszynowo (JSON), SBOM (CycloneDX/SPDX), poświadczenia, lista kontrolna zgodności i raporty atrybucji. Czytelny dla człowieka i maszyny, ustrukturyzowany zgodnie z Annex VII.

Deklaracja zgodności UE

Generuj dokumenty DoC UE z właściwym formatowaniem, wersjonowaniem i śledzeniem oznakowanie CE.

Raporty zgodności

PDF lub HTML. Podsumowanie podatności, inwentaryzacja komponentów, oceny jakości i status naprawy — w jednym raporcie gotowym dla audytorów.

Karta danych bezpieczeństwa

Kreator karty danych bezpieczeństwa Annex II. Utwórz szkic, zwaliduj i opublikuj. Eksportuj jako PDF, Markdown lub HTML.

Certyfikaty

Cykl życia certyfikatu: szkic, wydanie, unieważnienie. Niezmienne wydane certyfikaty z możliwością generowania PDF do pobrania.

Dokumenty wielojęzyczne

Generuj dokumenty w 6 językach: angielskim, hiszpańskim, niemieckim, francuskim, włoskim i polskim.

Gotowość na Annex I

Oceń swój produkt pod kątem wszystkich 20 podstawowych wymagań cyberbezpieczeństwa z Annex I Część I CRA. Śledź spełnione i brakujące wymagania.

Podpisywanie artefaktów

Podpisywanie SBOM i artefaktów oparte na Sigstore. Tryb bez klucza i z kluczem z weryfikacją podpisów dla integralności łańcucha dostaw.

Śledzenie okresu wsparcia

Definiuj i śledź obowiązkowy minimalny 5-letni okres wsparcia zgodnie z Art. 13(5) CRA. Alerty, gdy produkty zbliżają się do końca wsparcia.

Powiadomienia ENISA

Spełniaj każdy termin raportowania ENISA

CRA Artykuł 14 wymaga powiadamiania ENISA o aktywnie wykorzystywanych podatnościach i poważnych incydentach. Dwa osobne tory z różnymi terminami. CRA Evidence obsługuje oba z ustrukturyzowanymi szablonami i śledzeniem odliczania.

24h

Wczesne ostrzeżenie

Wstępne powiadomienie o podatności w ciągu 24 godzin od wykrycia. Identyfikator CVE, dotknięte produkty i ocena złożoności ataku.

72h

Szczegółowe powiadomienie

Analiza techniczna z harmonogramem naprawy, obejściami i rozszerzoną oceną skutków w ciągu 72 godzin.

14d

Raport końcowy

Potwierdzenie rozwiązania ze szczegółami trwałej poprawki, harmonogramem wdrożenia i wnioskami. 14 dni dla podatności, 30 dni dla incydentów.

Przypomnienia o terminach Automatyczne alerty przed upływem każdego obowiązku
Gotowość na ENISA SRP Ustrukturyzowane ładunki dla Platformy Jednorazowego Raportowania ENISA. Integracja od pierwszego dnia po uruchomieniu API.
Historia zgłoszeń Pełna ścieżka audytu wszystkich wygenerowanych powiadomień i śledzenie statusów
Zarządzanie incydentami Osobny przepływ pracy dla poważnych incydentów (Art. 14(3)). 30-dniowy raport końcowy wobec 14 dni dla podatności.
Raporty PDF i alerty o przekroczeniu terminów Wczesne ostrzeżenie, szczegółowe i końcowe raporty PDF. Odliczanie na dashboardzie przy zbliżaniu się terminów.
Koordynacja z CSIRT Jednoczesne powiadomienie ENISA i krajowego CSIRT zgodnie z Artykułem 14.
Zaprojektowane dla każdej roli CRA

Dashboard Producenta, Importera i Dystrybutora

CRA nakłada różne obowiązki na producentów (Art. 13), importerów (Art. 19) i dystrybutorów (Art. 20). Każda rola otrzymuje własną przestrzeń roboczą z procesami, które są dla niej istotne.

Zarządzanie produktami i wersjami

Produkty zorganizowane według kategorii CRA: Domyślna, Ważna Klasa I/Klasa II, Krytyczny. Każda wersja śledzi swój stan wydania, środowisko i poziom przechowywania.

Pełny pipeline artefaktów

Prześlij SBOM, HBOM i VEX dla każdej wersji. Ocena jakości i skanowanie podatności uruchamiają się automatycznie.

Zarządzanie podatnościami i incydentami

Śledzenie CVE, procesy naprawcze, powiadomienia ENISA. Panel bezpieczeństwa klasyfikuje wszystko według wyniku EPSS i oznacza wpisy CISA KEV.

Generowanie dokumentacji technicznej

Eksport Annex VII pakuje wszystko do ZIP: czytelne maszynowo SBOM, listy kontrolne zgodności, raporty atrybucji i deklaracje zgodności. Gotowy na zautomatyzowane audyty nadzoru rynku.

Powiadomienia dla klientów

System powiadamiania o podatnościach dla klientów. Szablony wielojęzyczne z zarządzaniem listami dystrybucyjnymi.

Znaczniki zaufania

Osadzane znaczniki zaufania zgodności na stronach Państwa produktów. Link do publicznej weryfikacji statusu zgodności z CRA.

Śledzenie oceny zgodności

Śledź swoją ścieżkę oceny na podstawie kategorii produktu: samoocena (Domyślna), kontrola wewnętrzna (Ważna Klasa I) lub ocena przez stronę trzecią (Ważna Klasa II, Krytyczny).

Proces weryfikacji Art. 19

Krok po kroku — lista kontrolna wymogów Art. 19: weryfikacja oznakowania CE, przegląd Annex II, identyfikacja importera na produkcie, zebranie deklaracji zgodności UE, końcowe zatwierdzenie.

Rejestr producentów

Śledź swoich producentów: kontakty, przedstawiciele UE, metadane CVD/CSAF. Ustal częstotliwość ponownej weryfikacji dla każdego z nich.

Decyzje o wstrzymaniu dystrybucji

Znaleziono problem? Zablokuj produkt. Zapisz uzasadnienie, powiadom zainteresowane strony i zgłoś do organu nadzoru. Wszystko jest rejestrowane.

Wyzwalacze ponownej weryfikacji

Nowa podatność? Duża aktualizacja? Zbliża się termin przeglądu? Otrzymasz alert o konieczności ponownej weryfikacji.

Klonowanie weryfikacji

Weryfikujesz nową wersję tego samego produktu? Sklonuj poprzednią weryfikację. Stan listy kontrolnej i dane producenta zostaną przeniesione.

Panel weryfikacji

Sprawdź na pierwszy rzut oka status: ile produktów jest zweryfikowanych, oczekujących, zablokowanych lub wymaga ponownej weryfikacji.

Lista kontrolna należytej staranności Art. 20

Wszystko, czego wymaga Art. 20, w formie listy kontrolnej: identyfikator produktu i identyfikowalność, oznakowanie CE, deklaracja UE, dane kontaktowe producenta, wykrywanie anomalii.

Przesyłanie dowodów CE

Prześlij dowody oznakowania CE: zdjęcia, skany, certyfikaty. Wbudowana kontrola typu i rozmiaru pliku, a wszystko jest rejestrowane w audycie.

Certyfikaty weryfikacji

Generuj certyfikaty PDF potwierdzające należytą staranność. Zawierają dane dystrybutora, zakres, datę i unikalny numer weryfikacji.

Działania wstrzymujące dystrybucję

Coś jest nie tak? Wstrzymaj dystrybucję. Uzasadnienie jest rejestrowane, a organy nadzoru i producenci są powiadamiani.

Widok portfolio

Przeglądaj wszystkie weryfikacje w jednym miejscu. Filtruj według statusu, produktu lub daty zakończenia, aby znaleźć to, co wymaga uwagi.

Postęp zgodności

Wizualne paski postępu dla każdego produktu. Na pierwszy rzut oka widać, jak daleko jest każda weryfikacja i co pozostało.

CI/CD i automatyzacja

Wpasowuje się w Państwa pipeline budowania

Dostępne są CLI i REST API. Przesyłaj SBOM, uruchamiaj skanowanie i kontroluj wydania z poziomu CI. Działa z GitHub Actions, GitLab CI lub czymkolwiek, co może uruchomić polecenie w terminalu.

Narzędzie CLI Przesyłaj SBOM/HBOM/VEX, skanuj, sprawdzaj status, zarządzaj wydaniami i porównuj wersje z poziomu terminala.
Progi krytyczności blokujące budowanie Blokuj budowanie w CI przy wykryciu podatności krytycznych lub wysokich. Konfigurowalne per pipeline.
Klucze API z zakresem uprawnień Szczegółowe uprawnienia: sbom:read, sbom:write, vuln:read, vuln:write i inne. Z limitowaniem częstotliwości i audytem.
Webhooks Otrzymuj zdarzenia dotyczące wykrytych podatności, ostrzeżeń o terminach ENISA i innych zdarzeń zgodności.
Silnik polityk Reguły polityk jako kod dla licencji, progów podatności, ocen jakości i zablokowanych komponentów. Zakres od globalnego do per wersji.
Bramki zatwierdzania wydań Konfigurowalne procesy zatwierdzania przed wydaniem wersji. Bramki manualne i automatyczne sprawdzanie warunków.
# Zeskanuj obraz Docker i prześlij SBOM
$ docker run --rm \
-e CRA_EVIDENCE_API_KEY="cra_xxx" \
-v /var/run/docker.sock:/var/run/docker.sock \
craevidence/cli:latest \
upload-sbom \
--product my-app \
--version 2.1.0 \
--image my-app:2.1.0 \
--scan --fail-on high

Upload successful!

Product       my-app (created new)
Version       2.1.0 (created new)
Components    142
Quality Score 87%

Vulnerabilities
  Critical    0
  High        0
  Medium      3
  Low         1
GitHub Actions GitLab CI Jenkins Dowolny CI
Zobacz pełny przewodnik integracji CI/CD
Integracje

Działa z narzędziami, których już używasz

Jira

Twórz zgłoszenia dla podatności bezpośrednio

Slack

Alerty o podatnościach i terminach w czasie rzeczywistym

GitHub

Synchronizacja komunikatów bezpieczeństwa i integracja z repozytoriami

Dependency-Track

Importuj SBOM z istniejących instancji

Microsoft Teams

Powiadomienia w Państwa kanałach Teams

Terminy ENISA

Automatyczne przypomnienia 24h, 72h, 14d/30d

Portal dostawców

Udostępnianie SBOM klientom z kontrolą dostępu

Ogólny Webhook

Wysyłaj zdarzenia do dowolnego endpointu HTTP

Bezpieczeństwo i zaufanie

Stworzone, aby zapewnić bezpieczeństwo Państwa danych zgodności

Kontrola dostępu
Dostęp oparty na rolach

Role: Właściciel, Administrator, Członek, Przeglądający. Klucze API z zakresem uprawnień i szczegółową kontrolą dostępu.

SSO i MFA

SAML 2.0, Google i Microsoft OAuth, provisioning SCIM. Uwierzytelnianie wieloskładnikowe TOTP.

Ochrona danych
Szyfrowanie

AES-256 dla danych w spoczynku, TLS 1.3 podczas przesyłania. Haszowanie haseł Argon2id.

Wielodostępność

Pełna izolacja organizacji. Każde zapytanie wymusza granice organizacyjne.

Obserwowalność
Dzienniki Audytu

Pełna identyfikowalność wszystkich działań. Przeszukiwalna ścieżka audytu z eksportem do CSV.

Limitowanie częstotliwości

Limitowanie częstotliwości metodą okna przesuwnego na endpointach logowania, API i przesyłania plików.

Zgodność
Bezpieczeństwo treści

Rygorystyczne nagłówki CSP, ochrona CSRF, sanityzacja HTML i HSTS.

Przechowywanie przez 10 lat

Dane produkcyjne przechowywane przez 10 lat zgodnie z Art. 13 CRA. Retencja oparta na poziomach.

Bezpłatne Narzędzia

Nie masz pewności, czy CRA Cię dotyczy?

Poznaj swoje obowiązki, zanim się zarejestrujesz. Te narzędzia są bezpłatne i nie wymagają konta.

Sprawdzenie Stosowalności CRA Kreator składający się z 11 pytań, który pomoże określić, czy Cyber Resilience Act ma zastosowanie do Państwa produktu. Obejmuje wyłączenia sektorowe, wymagania dotyczące łączności i klasyfikację produktów.
Quiz ról CRA Dowiedz się, czy zgodnie z CRA jesteś producentem, importerem czy dystrybutorem. Różne role wiążą się z różnymi obowiązkami.
Wyniki do udostępnienia Udostępniaj wyniki oceny współpracownikom lub działom prawnym za pomocą unikalnego URL. Dostępne we wszystkich 6 językach.
Wypróbuj narzędzie do sprawdzania stosowalności CRA Wypróbuj bezpłatny quiz CRA

Bez rejestracji. Zajmuje około 2 minuty.

Rozpocznij tworzenie systemu dowodów CRA już teraz.

Mapuj obowiązki, generuj dowody i bądź gotowy na audyt przed 11 grudnia 2027. 14-dniowy bezpłatny okres próbny, bez karty kredytowej.

Utwórz bezpłatne konto
Zobacz plany zgodności CRA Przeczytaj przewodnik zgodności CRA