HBOM för CRA-efterlevnad: Guide för hårdvarukomponentlistor

Medan SBOM (Software Bill of Materials) får mest uppmärksamhet har produkter med digitala element ofta betydande hårdvarukomponenter, var och en kan innehålla firmware med egna sårbarheter. HBOM (Hardware Bill of Materials) ger synlighet i dessa fysiska komponenter och deras inbyggda programvara.

Den här guiden förklarar HBOM i CRA-kontexten.

Sammanfattning

• CRA kräver inte explicit en HBOM, men täckning av hårdvarukomponenters firmware är nödvändig
• HBOM kompletterar SBOM genom att spåra hårdvarukomponenter och deras firmware
• Kritiska HBOM-element: chipset, moduler, processorer, nätverkskomponenter
• Integrera HBOM med din SBOM-strategi för fullständig komponenttäckning
• Leveranskedjerisker är betydande för hårdvaru-firmware

Varför HBOM är viktigt för CRA

CRA:s krav

CRA kräver att tillverkare:

CRA HBOM-RELATERADE KRAV

ARTIKEL 13(1) - GENERAL APPROACH:
"Tillverkaren ska... beakta cybersäkerhet under hela
produktens livscykel"

→ Kräver full synlighet i alla komponenter

BILAGA I, DEL I (VÄSENTLIGA KRAV):
"Produkten ska vara fri från kända exploaterbara
sårbarheter"

→ Kräver spårning av sårbarheter i hårdvaru-firmware

SBOM-KRAV:
"Maskinläsbar förteckning av programvarukomponenter"

→ Firmware i hårdvarukomponenter är programvara och
  måste inkluderas

Vad HBOM lägger till

SBOM ENSAM:
├── Operativsystem
├── Applikationsprogramvara
├── Bibliotek och beroenden
└── Firmware (om identifierat)

SBOM + HBOM:
├── Allt ovan PLUS:
├── Chipset-identifikation (leverantör, modell, revision)
├── Processorer (CPU, MCU, FPGA)
├── Nätverksmoduler (WiFi, Bluetooth, LTE)
├── Säkerhetselement (TPM, Secure Enclave)
├── Minne och lagring (om relevant för firmware)
├── FPGA-konfigurationer
└── Tillhörande firmware per komponent

HBOM-struktur

Komponenter att inkludera

HBOM KOMPONENTHIERARKI

NIVÅ 1: SYSTEMNIVÅENHETER
├── Huvud-SoC (System-on-Chip)
│   ├── Leverantör: Qualcomm/NXP/STMicro/etc.
│   ├── Modell: Specifikation
│   ├── Firmware-version (om tillämpligt)
│   └── Konfiguration
│
├── Minnesenhet
│   ├── Flash: Leverantör, modell, kapacitet
│   └── RAM: Typ, leverantör
│
└── Nätverksmodul
    ├── WiFi-chip: Leverantör, modell
    ├── Bluetooth: Leverantör, modell
    └── Firmware-versioner

NIVÅ 2: TILLÄGG
├── Säkerhetselementets identifikation
├── Strömhanteringschip
├── Displaykontroller (om tillämpligt)
└── Sensormodeller

HBOM-format

Det finns inget standardiserat HBOM-format, men vanliga tillvägagångssätt:

CycloneDX utökat:

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "components": [
    {
      "type": "hardware",
      "name": "WiFi Module",
      "version": "RTL8720CM-VA4",
      "supplier": {
        "name": "Realtek Semiconductor"
      },
      "purl": "pkg:generic/realtek/rtl8720cm@VA4",
      "description": "WiFi 802.11b/g/n module",
      "components": [
        {
          "type": "firmware",
          "name": "RTL8720CM Firmware",
          "version": "2.1.0.0",
          "purl": "pkg:firmware/realtek/rtl8720cm-firmware@2.1.0.0"
        }
      ]
    }
  ]
}

Spårning av firmware-sårbarheter

Varför hårdvaru-firmware är kritiskt

Hårdvaru-firmware-sårbarheter:

FIRMWARE-SÅRBARHETSLANDSKAP

VANLIGA TYPER:
- Inbäddade tjänster med svaga standardinloggningsuppgifter
- Föräldrade SSL/TLS-bibliotek i nätverksmoduler
- Buffer overflows i proprietär firmwarekod
- Hårdkodade nycklar eller certifikat
- Ouppdaterbara komponenter (bootloader-låsning)

HÅRDVARUSPECIFIKA UTMANINGAR:
- Leverantörer publicerar inte alltid CVE:er proaktivt
- Firmware-uppdateringar kan kräva fysisk åtkomst
- Slutet av leverantörens livscykel kan innebära ingen patchning
- Komponentfirmware är ofta proprietär (begränsad synlighet)

Sårbarhetövervakning för HBOM

HBOM SÅRBARHETÖVERVAKNING

DATABASER ATT BEVAKA:
- NVD/CVE för komponentspecifika sårbarheter
- ICS-CERT för OT/IoT-firmware
- Leverantörs säkerhetsbulletiner
- CISA kändexploaterade sårbarhets-katalog

ÖVERVAKNINGSPROCESS:
1. Bibehåll register över alla hårdvarukomponenter
2. Prenumerera på leverantörs säkerhetsbulletiner
3. Sök periodiskt NVD med komponentmodellidentifierare
4. Dokumentera firmware-versioner för alla komponenter
5. Uppdatera HBOM när komponenter ändras

Integration med SBOM

Fullständig komponenttäckning

FULLSTÄNDIG KOMPONENTTÄCKNING: SBOM + HBOM

┌─────────────────────────────────────────────────────┐
│                 KOMPLETT BOM                         │
├─────────────────────────────────────────────────────┤
│                                                     │
│   SBOM-LAGER:                    HBOM-LAGER:        │
│   ├── Applikationsprogramvara    ├── Chipset        │
│   ├── Middleware                 ├── Moduler        │
│   ├── OS / RTOS                  ├── Processorer    │
│   ├── SDK:er                     ├── Nätverkskompon.│
│   └── Öppen källkod-bibliotek   └── Säkerhetselem. │
│                                        │            │
│   Sammanfogas för fullständig         │            │
│   sårbarhetsövervakning ──────────────┘            │
└─────────────────────────────────────────────────────┘

Checklista för HBOM

HBOM IMPLEMENTERINGSCHECKLISTA

KOMPONENTINVENTERING:
[ ] Lista alla processorer och SoC:er
[ ] Identifiera nätverksmoduler (WiFi, Bluetooth, LTE/5G)
[ ] Dokumentera säkerhetselement
[ ] Identifiera kritiska chipset med firmware
[ ] Lista FPGA-konfigurationer (om tillämpligt)

FIRMWARE-SPÅRNING:
[ ] Hämta firmware-versioner för alla identifierade komponenter
[ ] Dokumentera leverantörens supportstatus per komponent
[ ] Identifiera komponenter som nått EOL (end-of-life)
[ ] Etablera process för firmware-uppdateringsövervakning

INTEGRATION MED SBOM:
[ ] SBOM inkluderar firmware-komponenter
[ ] HBOM kompletterar med hårdvarudetaljer
[ ] Gemensam sårbarhetsskanning mot hela BOM
[ ] CycloneDX-format används för kompatibilitet

LEVERANSKEDJA:
[ ] Leverantörers CVE-informationskanaler identifierade
[ ] Prenumeration på leverantörs säkerhetsbulletiner
[ ] Process för att begära SBOM från hårdvaruleverantörer
[ ] Alternativa leverantörer identifierade för kritiska komponenter

Hur CRA Evidence hjälper

CRA Evidence stöder HBOM-hantering:

• Hårdvarukomponentspårning: Registrera och övervaka hårdvarukomponenter
• Firmware-versionsspårning: Håll koll på firmware-versioner per enhet
• Sårbarhetskanning: Skanna HBOM mot CVE-databaser
• Leverantörsövervakning: Varningar om leverantörers säkerhetsbulletiner
• Integration med SBOM: Fullständig komponentbild i ett system

Bygg din kompletta BOM-strategi på app.craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.