Jakie formaty SBOM obsługuje CRA Evidence?

CRA Evidence obsługuje formaty CycloneDX (JSON i XML) i SPDX (JSON, tag-value i RDF). SBOM można przesyłać przez interfejs webowy, REST API lub narzędzie CLI CI/CD.

Jak działa skanowanie podatności?

CRA Evidence operates its own Vulnerability Knowledge Base, synced every 15 minutes from NVD/cvelistV5, OSV.dev (covering GitHub, Go, Rust, PyPI advisories), CISA KEV, and EPSS scoring. CRA Evidence vulnerability scanner runs as an independent verification layer. Each finding is enriched with EPSS exploit probability scores from FIRST.org and cross-referenced with the CISA KEV catalog for known-exploited vulnerabilities. Production versions are rescanned automatically when vulnerability databases update. Findings that you dismiss or suppress automatically generate draft VEX statements for batch review and CycloneDX export.

Czym jest raportowanie ENISA zgodnie z Artykułem 14?

Artykuł 14 Rozporządzenia o Cyberodporności wymaga od producentów zgłaszania aktywnie wykorzystywanych podatności do ENISA i krajowych CSIRT w ścisłych terminach: wczesne ostrzeżenie w ciągu 24 godzin, szczegółowy raport w ciągu 72 godzin i raport końcowy w ciągu 14 dni. CRA Evidence zapewnia ustrukturyzowane przepływy pracy i generowanie raportów dla tych obowiązków.

Czy CRA Evidence obsługuje wszystkie role podmiotów gospodarczych CRA?

Tak. CRA Evidence zapewnia dedykowane przepływy pracy dla wszystkich trzech ról CRA: Producentów (pełne narzędzia zgodności), Importerów (weryfikacja i należyta staranność) oraz Dystrybutorów (kontrole należytej staranności i dokumentacja). Każda rola otrzymuje dopasowany obszar roboczy z funkcjami specyficznymi dla roli.

Czy CRA Evidence może integrować się z pipeline'ami CI/CD?

Tak. CRA Evidence udostępnia narzędzie CLI i REST API do integracji CI/CD. Możesz przesyłać SBOM, sprawdzać status zgodności CRA i blokować wydania na podstawie progów podatności bezpośrednio w pipeline'ach GitHub Actions, GitLab CI lub Jenkins.

Platforma Zgodności CRA | SBOM, VEX i Raportowanie do ENISA

Zarządzanie artefaktami

Twoje SBOM — zwalidowane i wersjonowane

Wgraj plik CycloneDX lub SPDX. Walidujemy go względem kryteriów jakości BSI TR-03183, oceniamy jego kompletność i przechowujemy dokumentację gotową do audytu dla każdej wersji produktu.

CycloneDX i SPDX Format jest automatycznie wykrywany podczas przesyłania. Walidacja schematu CycloneDX 1.6, parsowanie SPDX 2.2+.

Ocena jakości TR-03183 Metryki ważone dla kompletności PURL, haszy, dostawcy, licencji i wersji.

Obsługa HBOM i VEX Ekstrakcja Hardware Bill of Materials i Vulnerability Exploitability eXchange z CycloneDX.

Wizualizacja grafu zależności Interaktywne drzewo komponentów Mermaid.js z rozwijaniem zależności tranzytywnych i nawigacją przez kliknięcie.

Porównywanie wersji i wykrywanie zmian Porównuj SBOM między wersjami. Wykrywaj nowe, usunięte i zmodyfikowane komponenty.

Tworzenie VEX Twórz i publikuj oświadczenia VEX (Vulnerability Exploitability eXchange) bezpośrednio w aplikacji. Eksportuj jako CycloneDX VEX.

CycloneDX SPDX HBOM VEX SARIF

Ocena jakości

Automatyczna ocena zgodności ze standardem BSI TR-03183 z rekomendacjami ulepszeń.

Drzewo zależności

Wizualizuj zależności bezpośrednie i tranzytywne z wykrywaniem zależności cyklicznych.

Porównywanie wersji

Porównuj SBOM między wersjami. Śledź, co się zmieniło i dlaczego.

Sprawdzanie licencji

Identyfikuj problematyczne kombinacje licencji w Państwa komponentach.

Skanowanie Podatności

Wykrywaj nowe CVE w ciągu minut, nie dni

Synchronizujemy informacje o podatnościach z NVD, OSV.dev, CISA KEV i EPSS co 15 minut, a następnie ponownie weryfikujemy wyniki niezależnym skanerem. Szybsze wykrywanie, mniej martwych pól.

Synchronizacja co 15 minut NVD/cvelistV5, OSV.dev, CISA KEV i EPSS są odświeżane w cyklu 15-minutowym.

Niezależna warstwa weryfikacji Skaner sprawdza wyniki osobno, dzięki czemu pominięte wykrycia w jednym źródle mogą zostać wychwycone.

Priorytetyzacja oparta na EPSS Każdy wynik jest wzbogacony o dane EPSS, dzięki czemu zespoły mogą skupić się na prawdopodobnej rzeczywistej eksploatacji, a nie tylko na surowej krytyczności.

Automatyczne ponowne skany i porównania z KEV Wersje produkcyjne i staging są skanowane ponownie automatycznie, a wyniki są zestawiane z katalogiem CISA KEV.

Śledzenie naprawy Pięcioetapowy cykl życia podatności: rozpoczęcie, naprawa, weryfikacja, wydanie. Śledzenie statusu dla każdej dotkniętej wersji.

Zarządzanie wyciszaniem Wyciszaj fałszywe alarmy z uzasadnieniem, datami wygaśnięcia i procesami zatwierdzania.

Analiza osiągalności Oznaczaj komponenty jako osiągalne lub nieosiągalne, aby priorytetyzować to, co naprawdę ma znaczenie.

Komunikaty CSAF Pełny cykl życia komunikatów bezpieczeństwa: import, walidacja, publikacja. Od szkicu do wersji końcowej z porównywaniem semantycznym. Zgodne z Art. 11 CRA.

Baza Wiedzy o Podatnościach Five authoritative sources aggregated into a single local knowledge base: NVD/cvelistV5, OSV.dev, GitHub Security Advisories, CISA KEV, and EPSS. Synced every 15 minutes. Our vulnerability scanner runs as an independent verification layer for zero blind spots.

Zautomatyzowany przepływ VEX i śledzenie pokrycia Decyzje triage'u automatycznie generują projekty oświadczeń VEX: wyciszenia, odrzucenia i zmiany statusu naprawy zasilają most VEX. Zbiorcza weryfikacja i publikacja jednym kliknięciem. Eksport VEX zgodnego z CycloneDX 1.6 na wersję. Śledź procent pokrycia we wszystkich ocenionych podatnościach jako jedną liczbę gotową do audytu.

Skorelowane informacje o podatnościach

Synchronizacja co 15 minut

Źródło NVD / cvelistV5 Bazowe aktualizacje CVE

Źródło OSV.dev Powiadomienia specyficzne dla ekosystemu

Źródło CISA KEV Znane wykorzystywane podatności

Źródło EPSS Prawdopodobieństwo realnej eksploatacji

Krok 1 Agreguj i weryfikuj

Wiele źródeł informacji jest korelowanych, a następnie ponownie sprawdzanych przez niezależny skaner.

Krok 2 Priorytetyzuj to, co istotne

Dane KEV i EPSS uwidaczniają wyniki, które najpewniej staną się rzeczywistymi problemami operacyjnymi.

Dopasowanie KEV Priorytetyzowane przez EPSS

Wynik Zweryfikowane wyniki szybciej trafiają do działania

Automatyczne ponowne skany utrzymują aktualność wersji produkcyjnych i staging, podczas gdy przepływ pracy pozostaje skupiony na aktywnym ryzyku.

Dokumentacja techniczna

Pakiety z Załącznika VII, gotowe na żądanie

Artykuł 13 wymaga 10 lat dokumentacji technicznej. Generujemy pakiety z Załącznik VII, certyfikaty i raporty zgodności, aby wnioski organów nadzoru rynku nie zaskoczyły Cię bez przygotowania.

Eksport Dokumentacji Technicznej

Jeden ZIP ze wszystkim: manifest czytelny maszynowo (JSON), SBOM (CycloneDX/SPDX), poświadczenia, lista kontrolna zgodności i raporty atrybucji. Czytelny dla człowieka i maszyny, ustrukturyzowany zgodnie z Annex VII.

Deklaracja zgodności UE

Generuj dokumenty DoC UE z właściwym formatowaniem, wersjonowaniem i śledzeniem oznakowanie CE.

Raporty zgodności

PDF lub HTML. Podsumowanie podatności, inwentaryzacja komponentów, oceny jakości i status naprawy — w jednym raporcie gotowym dla audytorów.

Karta danych bezpieczeństwa

Kreator karty danych bezpieczeństwa Annex II. Utwórz szkic, zwaliduj i opublikuj. Eksportuj jako PDF, Markdown lub HTML.

Certyfikaty

Cykl życia certyfikatu: szkic, wydanie, unieważnienie. Niezmienne wydane certyfikaty z możliwością generowania PDF do pobrania.

Dokumenty wielojęzyczne

Generate documents in 8 languages: English, Spanish, German, French, Italian, Polish, Dutch, and Swedish.

Gotowość na Annex I

Oceń swój produkt pod kątem wszystkich 20 podstawowych wymagań cyberbezpieczeństwa z Annex I Część I CRA. Śledź spełnione i brakujące wymagania.

Podpisywanie artefaktów

Podpisywanie SBOM i artefaktów oparte na Sigstore. Tryb bez klucza i z kluczem z weryfikacją podpisów dla integralności łańcucha dostaw.

Śledzenie okresu wsparcia

Definiuj i śledź obowiązkowy minimalny 5-letni okres wsparcia zgodnie z Art. 13(5) CRA. Alerty, gdy produkty zbliżają się do końca wsparcia.

Powiadomienia ENISA

Nigdy nie przeoczysz terminu ENISA

Artykuł 14 przewiduje dwie ścieżki zgłaszania z odrębnymi terminami: podatności i poważne incydenty. Obsługujemy obie z ustrukturyzowanymi szablonami i odliczaniem terminu.

24h

Wczesne ostrzeżenie

Wstępne powiadomienie o podatności w ciągu 24 godzin od wykrycia. Identyfikator CVE, dotknięte produkty i ocena złożoności ataku.

72h

Szczegółowe powiadomienie

Analiza techniczna z harmonogramem naprawy, obejściami i rozszerzoną oceną skutków w ciągu 72 godzin.

14d

Raport końcowy

Potwierdzenie rozwiązania ze szczegółami trwałej poprawki, harmonogramem wdrożenia i wnioskami. 14 dni dla podatności, 30 dni dla incydentów.

Przypomnienia o terminach Automatyczne alerty przed upływem każdego obowiązku

Gotowość na ENISA SRP Ustrukturyzowane ładunki dla Platformy Jednorazowego Raportowania ENISA. Integracja od pierwszego dnia po uruchomieniu API.

Historia zgłoszeń Pełna ścieżka audytu wszystkich wygenerowanych powiadomień i śledzenie statusów

Zarządzanie incydentami Osobny przepływ pracy dla poważnych incydentów (Art. 14(3)). 30-dniowy raport końcowy wobec 14 dni dla podatności.

Raporty PDF i alerty o przekroczeniu terminów Wczesne ostrzeżenie, szczegółowe i końcowe raporty PDF. Odliczanie na dashboardzie przy zbliżaniu się terminów.

Koordynacja z CSIRT Jednoczesne powiadomienie ENISA i krajowego CSIRT zgodnie z Artykułem 14.

Sprzęt i firmware

Stworzone dla produktów ze sprzętowymi komponentami

Maszyny, systemy wbudowane i urządzenia IoT potrzebują czegoś więcej niż tylko SBOM-ów oprogramowania. CRA Evidence obsługuje cały cykl życia produktów sprzętowych.

Śledzenie HBOM Hardware Bill of Materials z 15 typami komponentów, w tym czujnikami, siłownikami i mikrokontrolerami.

Analiza SBOM firmware Wczytaj SBOM z firmware'u lub komponentów sprzętowych i automatycznie sprawdź całe oprogramowanie wbudowane pod kątem znanych CVE.

Proces oznakowania CE Śledź ocenę zgodności z pełną ścieżką audytu. Generuj deklaracje zgodności UE.

Etykietowanie fizyczne Cyfrowe paszporty produktów z kodami QR dla produktów sprzętowych.

Dowiedz się więcej o zgodności z CRA dla producentów maszyn

Zaprojektowane dla każdej roli CRA

Dashboard Producenta, Importera i Dystrybutora

CRA nakłada różne obowiązki na producentów (Art. 13), importerów (Art. 19) i dystrybutorów (Art. 20). Każda rola otrzymuje własną przestrzeń roboczą z procesami, które są dla niej istotne.

Zarządzanie produktami i wersjami

Produkty zorganizowane według kategorii CRA: Domyślna, Ważna Klasa I/Klasa II, Krytyczny. Każda wersja śledzi swój stan wydania, środowisko i poziom przechowywania.

Pełny pipeline artefaktów

Prześlij SBOM, HBOM i VEX dla każdej wersji. Ocena jakości i skanowanie podatności uruchamiają się automatycznie.

Zarządzanie podatnościami i incydentami

Śledzenie CVE, procesy naprawcze, powiadomienia ENISA. Panel bezpieczeństwa klasyfikuje wszystko według wyniku EPSS i oznacza wpisy CISA KEV.

Generowanie dokumentacji technicznej

Eksport Annex VII pakuje wszystko do ZIP: czytelne maszynowo SBOM, listy kontrolne zgodności, raporty atrybucji i deklaracje zgodności. Gotowy na zautomatyzowane audyty nadzoru rynku.

Powiadomienia dla klientów

System powiadamiania o podatnościach dla klientów. Szablony wielojęzyczne z zarządzaniem listami dystrybucyjnymi.

Znaczniki zaufania

Osadzane znaczniki zaufania zgodności na stronach Państwa produktów. Link do publicznej weryfikacji statusu zgodności z CRA.

Śledzenie oceny zgodności

Śledź swoją ścieżkę oceny na podstawie kategorii produktu: samoocena (Domyślna), kontrola wewnętrzna (Ważna Klasa I) lub ocena przez stronę trzecią (Ważna Klasa II, Krytyczny).

Digital Product Passports

Generuj dynamiczne, publicznie dostępne Digital Product Passports dla każdej wersji. Kody QR, JSON-LD i eksport PDF — wielojęzyczne i odczytywalne maszynowo.

Dokumenty wielojęzyczne

Generuj dokumentację techniczną, raporty zgodności i Digital Product Passports w 8 językach UE: angielskim, hiszpańskim, niemieckim, francuskim, włoskim, polskim, niderlandzkim i szwedzkim.

Proces weryfikacji Art. 19

Krok po kroku — lista kontrolna wymogów Art. 19: weryfikacja oznakowania CE, przegląd Annex II, identyfikacja importera na produkcie, zebranie deklaracji zgodności UE, końcowe zatwierdzenie.

Rejestr producentów

Śledź swoich producentów: kontakty, przedstawiciele UE, metadane CVD/CSAF. Ustal częstotliwość ponownej weryfikacji dla każdego z nich.

Decyzje o wstrzymaniu dystrybucji

Znaleziono problem? Zablokuj produkt. Zapisz uzasadnienie, powiadom zainteresowane strony i zgłoś do organu nadzoru. Wszystko jest rejestrowane.

Wyzwalacze ponownej weryfikacji

Nowa podatność? Duża aktualizacja? Zbliża się termin przeglądu? Otrzymasz alert o konieczności ponownej weryfikacji.

Klonowanie weryfikacji

Weryfikujesz nową wersję tego samego produktu? Sklonuj poprzednią weryfikację. Stan listy kontrolnej i dane producenta zostaną przeniesione.

Panel weryfikacji

Sprawdź na pierwszy rzut oka status: ile produktów jest zweryfikowanych, oczekujących, zablokowanych lub wymaga ponownej weryfikacji.

Lista kontrolna należytej staranności Art. 20

Wszystko, czego wymaga Art. 20, w formie listy kontrolnej: identyfikator produktu i identyfikowalność, oznakowanie CE, deklaracja UE, dane kontaktowe producenta, wykrywanie anomalii.

Przesyłanie dowodów CE

Prześlij dowody oznakowania CE: zdjęcia, skany, certyfikaty. Wbudowana kontrola typu i rozmiaru pliku, a wszystko jest rejestrowane w audycie.

Certyfikaty weryfikacji

Generuj certyfikaty PDF potwierdzające należytą staranność. Zawierają dane dystrybutora, zakres, datę i unikalny numer weryfikacji.

Działania wstrzymujące dystrybucję

Coś jest nie tak? Wstrzymaj dystrybucję. Uzasadnienie jest rejestrowane, a organy nadzoru i producenci są powiadamiani.

Widok portfolio

Przeglądaj wszystkie weryfikacje w jednym miejscu. Filtruj według statusu, produktu lub daty zakończenia, aby znaleźć to, co wymaga uwagi.

Postęp zgodności

Wizualne paski postępu dla każdego produktu. Na pierwszy rzut oka widać, jak daleko jest każda weryfikacja i co pozostało.

CI/CD i automatyzacja

Wpasowuje się w Państwa pipeline budowania

Dostępne są CLI i REST API. Przesyłaj SBOM, uruchamiaj skanowanie i kontroluj wydania z poziomu CI. Działa z GitHub Actions, GitLab CI lub czymkolwiek, co może uruchomić polecenie w terminalu.

Narzędzie CLI Przesyłaj SBOM/HBOM/VEX, skanuj, sprawdzaj status, zarządzaj wydaniami i porównuj wersje z poziomu terminala.

Progi krytyczności blokujące budowanie Blokuj budowanie w CI przy wykryciu podatności krytycznych lub wysokich. Konfigurowalne per pipeline.

Klucze API z zakresem uprawnień Szczegółowe uprawnienia: sbom:read, sbom:write, vuln:read, vuln:write i inne. Z limitowaniem częstotliwości i audytem.

Webhooks Otrzymuj zdarzenia dotyczące wykrytych podatności, ostrzeżeń o terminach ENISA i innych zdarzeń zgodności.

Silnik polityk Reguły polityk jako kod dla licencji, progów podatności, ocen jakości i zablokowanych komponentów. Zakres od globalnego do per wersji.

Bramki zatwierdzania wydań Konfigurowalne procesy zatwierdzania przed wydaniem wersji. Bramki manualne i automatyczne sprawdzanie warunków.

# Zeskanuj obraz Docker i prześlij SBOM
$ docker run --rm \
-e CRA_EVIDENCE_API_KEY="cra_xxx" \
-v /var/run/docker.sock:/var/run/docker.sock \
craevidence/cli:latest \
upload-sbom \
--product my-app \
--version 2.1.0 \
--image my-app:2.1.0 \
--scan --fail-on high

Upload successful!

Product       my-app (created new)
Version       2.1.0 (created new)
Components    142
Quality Score 87%

Vulnerabilities
  Critical    0
  High        0
  Medium      3
  Low         1

GitHub Actions GitLab CI Jenkins Dowolny CI

Zobacz pełny przewodnik integracji CI/CD

Integracje

Działa z narzędziami, których już używasz

Jira

Twórz zgłoszenia dla podatności bezpośrednio

Slack

Alerty o podatnościach i terminach w czasie rzeczywistym

GitHub

Synchronizacja komunikatów bezpieczeństwa i integracja z repozytoriami

Dependency-Track

Importuj SBOM z istniejących instancji

Microsoft Teams

Powiadomienia w Państwa kanałach Teams

Terminy ENISA

Automatyczne przypomnienia 24h, 72h, 14d/30d

Portal dostawców

Udostępnianie SBOM klientom z kontrolą dostępu

Ogólny Webhook

Wysyłaj zdarzenia do dowolnego endpointu HTTP

Bezpieczeństwo i zaufanie

Stworzone, aby zapewnić bezpieczeństwo Państwa danych zgodności

Kontrola dostępu

Dostęp oparty na rolach

Role: Właściciel, Administrator, Członek, Przeglądający. Klucze API z zakresem uprawnień i szczegółową kontrolą dostępu.

SSO i MFA

SAML 2.0, Google i Microsoft OAuth, provisioning SCIM. Uwierzytelnianie wieloskładnikowe TOTP.

Ochrona danych

Szyfrowanie

AES-256 dla danych w spoczynku, TLS 1.3 podczas przesyłania. Haszowanie haseł Argon2id.

Wielodostępność

Pełna izolacja organizacji. Każde zapytanie wymusza granice organizacyjne.

Obserwowalność

Dzienniki Audytu

Pełna identyfikowalność wszystkich działań. Przeszukiwalna ścieżka audytu z eksportem do CSV.

Limitowanie częstotliwości

Limitowanie częstotliwości metodą okna przesuwnego na endpointach logowania, API i przesyłania plików.

Zgodność

Bezpieczeństwo treści

Rygorystyczne nagłówki CSP, ochrona CSRF, sanityzacja HTML i HSTS.

Przechowywanie przez 10 lat

Dane produkcyjne przechowywane przez 10 lat zgodnie z Art. 13 CRA. Retencja oparta na poziomach.

Bezpłatne Narzędzia

Nie masz pewności, czy CRA Cię dotyczy?

Poznaj swoje obowiązki, zanim się zarejestrujesz. Te narzędzia są bezpłatne i nie wymagają konta.

Sprawdzenie Stosowalności CRA Kreator składający się z 11 pytań, który pomoże określić, czy Cyber Resilience Act ma zastosowanie do Państwa produktu. Obejmuje wyłączenia sektorowe, wymagania dotyczące łączności i klasyfikację produktów.

Quiz ról CRA Dowiedz się, czy zgodnie z CRA jesteś producentem, importerem czy dystrybutorem. Różne role wiążą się z różnymi obowiązkami.

Wyniki do udostępnienia Udostępnij wyniki współpracownikom lub zespołom prawnym za pomocą unikalnego linku. Dostępne we wszystkich 8 językach europejskich.

Wypróbuj narzędzie do sprawdzania stosowalności CRA Wypróbuj bezpłatny quiz CRA

Bez rejestracji. Zajmuje około 2 minuty.

CRA Evidence Platform

Twoje SBOM — zwalidowane i wersjonowane

Ocena jakości

Drzewo zależności

Porównywanie wersji

Sprawdzanie licencji

Wykrywaj nowe CVE w ciągu minut, nie dni

Pakiety z Załącznika VII, gotowe na żądanie

Eksport Dokumentacji Technicznej

Deklaracja zgodności UE

Raporty zgodności

Karta danych bezpieczeństwa

Certyfikaty

Dokumenty wielojęzyczne

Gotowość na Annex I

Podpisywanie artefaktów

Śledzenie okresu wsparcia

Nigdy nie przeoczysz terminu ENISA

Wczesne ostrzeżenie

Szczegółowe powiadomienie

Raport końcowy

Stworzone dla produktów ze sprzętowymi komponentami

Dashboard Producenta, Importera i Dystrybutora

Zarządzanie produktami i wersjami

Pełny pipeline artefaktów

Zarządzanie podatnościami i incydentami

Generowanie dokumentacji technicznej

Powiadomienia dla klientów

Znaczniki zaufania

Śledzenie oceny zgodności

Digital Product Passports

Dokumenty wielojęzyczne

Proces weryfikacji Art. 19

Rejestr producentów

Decyzje o wstrzymaniu dystrybucji

Wyzwalacze ponownej weryfikacji

Klonowanie weryfikacji

Panel weryfikacji

Lista kontrolna należytej staranności Art. 20

Przesyłanie dowodów CE

Certyfikaty weryfikacji

Działania wstrzymujące dystrybucję

Widok portfolio

Postęp zgodności

Wpasowuje się w Państwa pipeline budowania

Działa z narzędziami, których już używasz

Jira

Slack

GitHub

Dependency-Track

Microsoft Teams

Terminy ENISA

Portal dostawców

Ogólny Webhook

Stworzone, aby zapewnić bezpieczeństwo Państwa danych zgodności

Dostęp oparty na rolach

SSO i MFA

Szyfrowanie

Wielodostępność

Dzienniki Audytu

Limitowanie częstotliwości

Bezpieczeństwo treści

Przechowywanie przez 10 lat

Nie masz pewności, czy CRA Cię dotyczy?

Zobacz to w akcji: wygeneruj swój pierwszy SBOM w kilka minut