Dla zespołów devops, compliance i bezpieczeństwa

CRA Evidence Platform

Platforma zgodności dla unijnych producentów, importerów i dystrybutorów. SBOM-y, VEX, procesy obsługi podatności, zgłoszenia do ENISA i dokumentacja techniczna, wszystko w jednym miejscu.

Zaprojektowane do integracji z potokiem CI/CD i pokrycia każdego obowiązku cyklu życia produktu wynikającego z unijnego rozporządzenia o cyberodporności.

Poproś o demo
Nowość w akcie o cyberodporności? Proszę przeczytać bezpłatny przewodnik po zgodności z CRA
Łańcuch dostaw CRA: producent, importer i dystrybutor połączeni z unijnym hubem CRA
Zarządzanie artefaktami

Twoje SBOM — zwalidowane i wersjonowane

Wgraj plik CycloneDX lub SPDX. Walidujemy go względem kryteriów jakości BSI TR-03183, oceniamy jego kompletność i przechowujemy dokumentację gotową do audytu dla każdej wersji produktu.

CycloneDX i SPDX Format jest automatycznie wykrywany podczas przesyłania. Walidacja schematu CycloneDX 1.6, parsowanie SPDX 2.2+.
Ocena jakości TR-03183 Metryki ważone dla kompletności PURL, haszy, dostawcy, licencji i wersji.
Obsługa HBOM i VEX Ekstrakcja Hardware Bill of Materials i Vulnerability Exploitability eXchange z CycloneDX.
Wizualizacja grafu zależności Interaktywne drzewo komponentów Mermaid.js z rozwijaniem zależności tranzytywnych i nawigacją przez kliknięcie.
Porównywanie wersji i wykrywanie zmian Porównuj SBOM między wersjami. Wykrywaj nowe, usunięte i zmodyfikowane komponenty.
Tworzenie VEX Twórz i publikuj oświadczenia VEX (Vulnerability Exploitability eXchange) bezpośrednio w aplikacji. Eksportuj jako CycloneDX VEX.
CycloneDX SPDX HBOM VEX SARIF

Ocena jakości

Automatyczna ocena zgodności ze standardem BSI TR-03183 z rekomendacjami ulepszeń.

Drzewo zależności

Wizualizuj zależności bezpośrednie i tranzytywne z wykrywaniem zależności cyklicznych.

Porównywanie wersji

Porównuj SBOM między wersjami. Śledź, co się zmieniło i dlaczego.

Sprawdzanie licencji

Identyfikuj problematyczne kombinacje licencji w Państwa komponentach.

Skanowanie Podatności

Wykrywaj nowe CVE w ciągu minut, nie dni

Synchronizujemy informacje o podatnościach z NVD, OSV.dev, CISA KEV, EPSS i ENISA EUVD co 15 minut, a następnie ponownie weryfikujemy wyniki niezależnym skanerem. Szybsze wykrywanie, mniej martwych pól.

Synchronizacja co 15 minut NVD/cvelistV5, OSV.dev, CISA KEV, EPSS i ENISA EUVD są odświeżane w cyklu 15-minutowym.
Niezależna warstwa weryfikacji Skaner sprawdza wyniki osobno, dzięki czemu pominięte wykrycia w jednym źródle mogą zostać wychwycone.
Priorytetyzacja oparta na EPSS Każdy wynik jest wzbogacony o dane EPSS, dzięki czemu zespoły mogą skupić się na prawdopodobnej rzeczywistej eksploatacji, a nie tylko na surowej krytyczności.
Automatyczne ponowne skany i porównania z KEV Wersje produkcyjne i staging są skanowane ponownie automatycznie, a wyniki są zestawiane z katalogiem CISA KEV.
Śledzenie naprawy Pięcioetapowy cykl życia podatności: rozpoczęcie, naprawa, weryfikacja, wydanie. Śledzenie statusu dla każdej dotkniętej wersji.
Zarządzanie wyciszaniem Wyciszaj fałszywe alarmy z uzasadnieniem, datami wygaśnięcia i procesami zatwierdzania.
Analiza osiągalności Oznaczaj komponenty jako osiągalne lub nieosiągalne, aby priorytetyzować to, co naprawdę ma znaczenie.
Komunikaty CSAF Pełny cykl życia komunikatów bezpieczeństwa: import, walidacja, publikacja. Od szkicu do wersji końcowej z porównywaniem semantycznym.
Baza Wiedzy o Podatnościach Sześć autorytatywnych źródeł w jednej lokalnej bazie wiedzy: NVD/cvelistV5, OSV.dev, GitHub Security Advisories, CISA KEV, EPSS i ENISA EUVD.
Zautomatyzowany przepływ VEX i śledzenie pokrycia Decyzje triage'u automatycznie generują projekty oświadczeń VEX. Zbiorcza weryfikacja i publikacja jednym kliknięciem, eksport VEX w formacie CycloneDX na wersję oraz śledzenie pokrycia we wszystkich podatnościach.
Skorelowane informacje o podatnościach
Synchronizacja co 15 minut
Źródło NVD / cvelistV5 Bazowe aktualizacje CVE
Źródło OSV.dev Powiadomienia specyficzne dla ekosystemu
Źródło CISA KEV Znane wykorzystywane podatności
Źródło EPSS Prawdopodobieństwo realnej eksploatacji
Źródło ENISA EUVD Skoordynowane ujawnienia podatności w UE
Krok 1 Agreguj i weryfikuj

Wiele źródeł informacji jest korelowanych, a następnie ponownie sprawdzanych przez niezależny skaner.

Krok 2 Priorytetyzuj to, co istotne

Dane KEV i EPSS uwidaczniają wyniki, które najpewniej staną się rzeczywistymi problemami operacyjnymi.

Dopasowanie KEV Priorytetyzowane przez EPSS
Wynik Zweryfikowane wyniki szybciej trafiają do działania

Automatyczne ponowne skany utrzymują aktualność wersji produkcyjnych i staging, podczas gdy przepływ pracy pozostaje skupiony na aktywnym ryzyku.

Wykryj
Zweryfikuj
Nadaj priorytet
Skanuj ponownie
Dokumentacja techniczna

Dokumentacja zgodności, gotowa na żądanie

CRA wymaga 10 lat dokumentacji technicznej. Generujemy pakiety z Załącznik VII, certyfikaty i raporty zgodności, aby wnioski organów nadzoru rynku nie zaskoczyły Cię bez przygotowania.

Eksport Dokumentacji Technicznej

Jeden ZIP ze wszystkim: manifest czytelny maszynowo (JSON), SBOM (CycloneDX/SPDX), poświadczenia, lista kontrolna zgodności i raporty atrybucji.

Deklaracja zgodności UE

Generuj dokumenty DoC UE z właściwym formatowaniem, wersjonowaniem i śledzeniem oznakowanie CE.

Raporty zgodności

PDF lub HTML. Podsumowanie podatności, inwentaryzacja komponentów, oceny jakości i status naprawy — w jednym raporcie gotowym dla audytorów.

Karta danych bezpieczeństwa

Kreator karty danych bezpieczeństwa Annex II. Utwórz szkic, zwaliduj i opublikuj. Eksportuj jako PDF, Markdown lub HTML.

Certyfikaty

Cykl życia certyfikatu: szkic, wydanie, unieważnienie. Niezmienne wydane certyfikaty z możliwością generowania PDF do pobrania.

Dokumenty wielojęzyczne

Generuj dokumenty we wszystkich 24 językach urzędowych UE.

Gotowość na Annex I

Oceń swój produkt pod kątem wszystkich 20 podstawowych wymagań cyberbezpieczeństwa z Annex I Część I CRA. Śledź spełnione i brakujące wymagania.

Podpisywanie artefaktów

Podpisywanie SBOM i artefaktów oparte na Sigstore. Tryb bez klucza i z kluczem z weryfikacją podpisów dla integralności łańcucha dostaw.

Śledzenie okresu wsparcia

Definiuj i śledź okresy wsparcia produktów, z alertami, gdy zbliżają się do końca okresu wsparcia.

Powiadomienia ENISA

Nigdy nie przeoczysz terminu ENISA

CRA przewiduje dwie ścieżki zgłaszania z odrębnymi terminami: podatności i poważne incydenty. Obsługujemy obie z ustrukturyzowanymi szablonami i odliczaniem terminu.

24h

Wczesne ostrzeżenie

Wstępne powiadomienie o podatności w ciągu 24 godzin od powzięcia wiadomości. Identyfikator CVE, dotknięte produkty i ocena złożoności ataku.

72h

Szczegółowe powiadomienie

Analiza techniczna z harmonogramem naprawy, obejściami i rozszerzoną oceną skutków w ciągu 72 godzin.

14d

Raport końcowy

Potwierdzenie rozwiązania ze szczegółami trwałej poprawki, harmonogramem wdrożenia i wnioskami. 14 dni dla podatności, 30 dni dla incydentów.

Przypomnienia o terminach Automatyczne alerty przed upływem każdego obowiązku
Gotowość na ENISA SRP Ustrukturyzowane ładunki dla Platformy Jednorazowego Raportowania ENISA. Integracja od pierwszego dnia po uruchomieniu API.
Historia zgłoszeń Pełna ścieżka audytu wszystkich wygenerowanych powiadomień i śledzenie statusów
Zarządzanie incydentami Osobny przepływ pracy dla poważnych incydentów (Art. 14(3)). 30-dniowy raport końcowy wobec 14 dni dla podatności.
Raporty PDF i alerty o przekroczeniu terminów Wczesne ostrzeżenie, szczegółowe i końcowe raporty PDF. Odliczanie na dashboardzie przy zbliżaniu się terminów.
Koordynacja z CSIRT Jednoczesne powiadomienie ENISA i krajowego CSIRT.
Sprzęt i firmware

Stworzone dla produktów ze sprzętowymi komponentami

Maszyny, systemy wbudowane i urządzenia IoT potrzebują czegoś więcej niż tylko SBOM-ów oprogramowania. CRA Evidence obsługuje cały cykl życia produktów sprzętowych.

Śledzenie HBOM Hardware Bill of Materials z 15 typami komponentów, w tym czujnikami, siłownikami i mikrokontrolerami.
Analiza SBOM firmware Wczytaj SBOM z firmware'u lub komponentów sprzętowych i automatycznie sprawdź całe oprogramowanie wbudowane pod kątem znanych CVE.
Proces oznakowania CE Śledź ocenę zgodności z pełną ścieżką audytu. Generuj deklaracje zgodności UE.
Etykietowanie fizyczne Cyfrowe Paszporty Produktów z kodami QR dla produktów sprzętowych.
Dowiedz się więcej o zgodności z CRA dla producentów maszyn
Zaprojektowane dla każdej roli CRA

Dashboard Producenta, Importera i Dystrybutora

CRA nakłada różne obowiązki na producentów, importerów i dystrybutorów. Każda rola otrzymuje własną przestrzeń roboczą z procesami, które są dla niej istotne.

Zarządzanie produktami i wersjami

Produkty zorganizowane według kategorii CRA: Domyślna, Ważna Klasa I/Klasa II, Krytyczny. Każda wersja śledzi swój stan wydania, środowisko i poziom przechowywania.

Pełny pipeline artefaktów

Prześlij SBOM, HBOM i VEX dla każdej wersji. Ocena jakości i skanowanie podatności uruchamiają się automatycznie.

Zarządzanie podatnościami i incydentami

Śledzenie CVE, procesy naprawcze, powiadomienia ENISA. Panel bezpieczeństwa klasyfikuje wszystko według wyniku EPSS i oznacza wpisy CISA KEV.

Generowanie dokumentacji technicznej

Eksport Annex VII pakuje wszystko do pliku ZIP: SBOM, listy kontrolne zgodności, raporty atrybucji i deklaracje zgodności.

Powiadomienia dla klientów

System powiadamiania o podatnościach dla klientów. Szablony wielojęzyczne z zarządzaniem listami dystrybucyjnymi.

Znaczniki zaufania

Osadzane znaczniki zaufania zgodności na stronach Państwa produktów. Link do publicznej weryfikacji statusu zgodności z CRA.

Śledzenie oceny zgodności

Śledź właściwą ścieżkę oceny zgodności dla każdej kategorii produktu, od samooceny po certyfikację przez jednostkę notyfikowaną.

Cyfrowe Paszporty Produktów

Generuj dynamiczne, publicznie dostępne Cyfrowe Paszporty Produktów dla każdej wersji. Kody QR, JSON-LD i eksport PDF — wielojęzyczne i nadające się do odczytu maszynowego.

Dokumenty wielojęzyczne

Generuj dokumentację techniczną, raporty zgodności i Cyfrowe Paszporty Produktów w 8 językach UE.

Proces weryfikacji importera

Lista kontrolna krok po kroku obejmująca obowiązki importera: weryfikacja oznakowania CE, przegląd Annex II, identyfikacja importera na produkcie, zebranie deklaracji zgodności UE, końcowe zatwierdzenie.

Rejestr producentów

Śledź swoich producentów: kontakty, przedstawiciele UE, metadane CVD/CSAF. Ustal częstotliwość ponownej weryfikacji dla każdego z nich.

Decyzje o wstrzymaniu dystrybucji

Znaleziono problem? Zablokuj produkt. Zapisz uzasadnienie, powiadom zainteresowane strony i zgłoś do organu nadzoru. Wszystko jest rejestrowane.

Wyzwalacze ponownej weryfikacji

Nowa podatność? Duża aktualizacja? Zbliża się termin przeglądu? Otrzymasz alert o konieczności ponownej weryfikacji.

Klonowanie weryfikacji

Weryfikujesz nową wersję tego samego produktu? Sklonuj poprzednią weryfikację. Stan listy kontrolnej i dane producenta zostaną przeniesione.

Panel weryfikacji

Sprawdź na pierwszy rzut oka status: ile produktów jest zweryfikowanych, oczekujących, zablokowanych lub wymaga ponownej weryfikacji.

Lista kontrolna należytej staranności dystrybutora

Wszystko, co dystrybutor musi sprawdzić, na jednej liście: identyfikator produktu i identyfikowalność, oznakowanie CE, deklaracja UE, dane kontaktowe producenta, wykrywanie anomalii.

Przesyłanie dowodów CE

Prześlij dowody oznakowania CE: zdjęcia, skany, certyfikaty. Wbudowana kontrola typu i rozmiaru pliku, a wszystko jest rejestrowane w audycie.

Certyfikaty weryfikacji

Generuj certyfikaty PDF potwierdzające należytą staranność. Zawierają dane dystrybutora, zakres, datę i unikalny numer weryfikacji.

Działania wstrzymujące dystrybucję

Coś jest nie tak? Wstrzymaj dystrybucję. Uzasadnienie jest rejestrowane, a organy nadzoru i producenci są powiadamiani.

Widok portfolio

Przeglądaj wszystkie weryfikacje w jednym miejscu. Filtruj według statusu, produktu lub daty zakończenia, aby znaleźć to, co wymaga uwagi.

Postęp zgodności

Wizualne paski postępu dla każdego produktu. Na pierwszy rzut oka widać, jak daleko jest każda weryfikacja i co pozostało.

CI/CD i automatyzacja

Wpasowuje się w Państwa pipeline budowania

Dostępne są CLI i REST API. Przesyłaj SBOM, uruchamiaj skanowanie i kontroluj wydania z poziomu CI. Działa z GitHub Actions, GitLab CI lub czymkolwiek, co może uruchomić polecenie w terminalu.

Narzędzie CLI Przesyłaj SBOM/HBOM/VEX, skanuj, sprawdzaj status, zarządzaj wydaniami i porównuj wersje z poziomu terminala.
Progi krytyczności blokujące budowanie Blokuj budowanie w CI przy wykryciu podatności krytycznych lub wysokich. Konfigurowalne per pipeline.
Klucze API z zakresem uprawnień Szczegółowe uprawnienia: sbom:read, sbom:write, vuln:read, vuln:write i inne. Z limitowaniem częstotliwości i audytem.
Webhooks Otrzymuj zdarzenia dotyczące wykrytych podatności, ostrzeżeń o terminach ENISA i innych zdarzeń zgodności.
Silnik polityk Reguły polityk jako kod dla licencji, progów podatności, ocen jakości i zablokowanych komponentów. Zakres od globalnego do per wersji.
Bramki zatwierdzania wydań Konfigurowalne procesy zatwierdzania przed wydaniem wersji. Bramki manualne i automatyczne sprawdzanie warunków.
# Zeskanuj obraz Docker i prześlij SBOM
$ docker run --rm \
-e CRA_EVIDENCE_API_KEY="cra_xxx" \
-v /var/run/docker.sock:/var/run/docker.sock \
craevidence/cli:latest \
upload-sbom \
--product my-app \
--version 2.1.0 \
--image my-app:2.1.0 \
--scan --fail-on high

Upload successful!

Product       my-app (created new)
Version       2.1.0 (created new)
Components    142
Quality Score 87%

Vulnerabilities
  Critical    0
  High        0
  Medium      3
  Low         1
GitHub Actions GitLab CI Jenkins Dowolny CI
Zobacz pełny przewodnik integracji CI/CD
Integracje

Działa z narzędziami, których już używasz

Jira

Twórz zgłoszenia dla podatności bezpośrednio

Slack

Alerty o podatnościach i terminach w czasie rzeczywistym

GitHub

Synchronizacja komunikatów bezpieczeństwa i integracja z repozytoriami

Dependency-Track

Importuj SBOM z istniejących instancji

Microsoft Teams

Powiadomienia w Państwa kanałach Teams

Terminy ENISA

Automatyczne przypomnienia 24h, 72h, 14d/30d

Portal dostawców

Udostępnianie SBOM klientom z kontrolą dostępu

Ogólny Webhook

Wysyłaj zdarzenia do dowolnego endpointu HTTP

Bezpieczeństwo i zaufanie

Stworzone, aby zapewnić bezpieczeństwo Państwa danych zgodności

Kontrola dostępu
Dostęp oparty na rolach

Role: Właściciel, Administrator, Członek, Przeglądający. Klucze API z zakresem uprawnień i szczegółową kontrolą dostępu.

SSO i MFA

SAML 2.0, Google i Microsoft OAuth, provisioning SCIM. Uwierzytelnianie wieloskładnikowe TOTP.

Ochrona danych
Szyfrowanie

AES-256 dla danych w spoczynku, TLS 1.3 podczas przesyłania. Haszowanie haseł Argon2id.

Wielodostępność

Pełna izolacja organizacji. Każde zapytanie wymusza granice organizacyjne.

Obserwowalność
Dzienniki Audytu

Pełna identyfikowalność wszystkich działań. Przeszukiwalna ścieżka audytu z eksportem do CSV.

Limitowanie częstotliwości

Limitowanie częstotliwości metodą okna przesuwnego na endpointach logowania, API i przesyłania plików.

Zgodność
Bezpieczeństwo treści

Rygorystyczne nagłówki CSP, ochrona CSRF, sanityzacja HTML i HSTS.

Przechowywanie przez 10 lat

Dane produkcyjne przechowywane przez 10 lat, zgodnie z wymogami CRA. Retencja oparta na poziomach.

Darmowe narzędzia

Nie masz pewności, czy CRA Cię dotyczy?

Poznaj swoje obowiązki, zanim się zarejestrujesz. Te narzędzia są bezpłatne i nie wymagają konta.

Sprawdzenie Stosowalności CRA Kreator składający się z 11 pytań, który pomoże określić, czy Cyber Resilience Act ma zastosowanie do Państwa produktu. Obejmuje wyłączenia sektorowe, wymagania dotyczące łączności i klasyfikację produktów.
Quiz roli CRA Dowiedz się, czy zgodnie z CRA jesteś producentem, importerem czy dystrybutorem. Różne role wiążą się z różnymi obowiązkami.
Wyniki do udostępnienia Udostępnij wyniki współpracownikom lub zespołom prawnym za pomocą unikalnego linku. Dostępne we wszystkich 8 językach europejskich.
Wypróbuj narzędzie do sprawdzania stosowalności CRA Wypróbuj bezpłatny quiz CRA

Bez rejestracji. Zajmuje około 2 minuty.

CRA Compliance Platform

Zobacz to w akcji: wygeneruj swój pierwszy SBOM w kilka minut

14-dniowy bezpłatny okres próbny. Karta kredytowa nie jest wymagana. Anuluj w dowolnym momencie.

Rozpocznij bezpłatny okres próbny Zarezerwuj demo