Tyska BSI TR-03183: Hur det utökar CRA:s SBOM-krav
En förståelse för det tyska BSI-tekniska kravet för SBOM-kvalitet. En guide för tillverkare som riktar sig till den tyska marknaden med CRA-kompatibla produkter.
In this article
Tysklands BSI har publicerat TR-03183, ett tekniskt krav som går utöver CRA:s grundläggande SBOM-förväntningar. Om du säljer produkter med digitala element i Tyskland hjälper dig förståelsen av TR-03183 att uppfylla både CRA och den tyska marknadens förhöjda förväntningar.
Den här guiden förklarar vad TR-03183 kräver och hur det relaterar till CRA-efterlevnad.
Sammanfattning
- BSI TR-03183 är ett tyskt tekniskt krav för SBOM-kvalitet och sårbarhethantering
- Det operationaliserar CRA-krav med specifik teknisk vägledning
- Tre delar: Del 1 (allmän), Del 2 (SBOM), Del 3 (sårbarhetrapporter)
- Mer föreskrivande än CRA ensamt – specificerar format, fält och processer
- Efterlevnad av TR-03183 demonstrerar stark CRA-efterlevnad
Vad är TR-03183?
BSI TR-03183 "Cyber Resilience Requirements for Manufacturers and Products" är ett tekniskt krav publicerat av det tyska federala informationssäkerhetskontoret (Bundesamt für Sicherheit in der Informationstechnik).
Status: Tekniskt krav, inte lag. Men:
- Refereras av tyska upphandlingskrav
- Förväntas av tyska kunder
- Demonstrerar bästa praxis för CRA-efterlevnad
- Kan påverka framtida harmoniserade CRA-standarder
TR-03183-struktur
TR-03183 STRUKTUR
Del 1: Allmänna krav
├── Tillämpningsområde och tillämplighet
├── Relation till CRA
├── Produktsäkerhetskrav
└── Konformitetskriterier
Del 2: Software Bill of Materials (SBOM)
├── Krav på SBOM-generering
├── Obligatoriska fält och metadata
├── Formatspecifikationer (CycloneDX, SPDX)
├── Leverans- och uppdateringskrav
└── Kvalitetskriterier
Del 3: Sårbarhetrapporter och rådgivningar
├── Krav på sårbarhetavslöjande
├── Rapportformat (CSAF)
├── Publicering av rådgivningar
├── VEX (Vulnerability Exploitability eXchange)
└── Samordningskrav
TR-03183 kontra CRA: Viktiga skillnader
SBOM-krav
| Aspekt | CRA-krav | TR-03183-specifikation |
|---|---|---|
| Format | "Maskinläsbart" | CycloneDX 1.4+ eller SPDX 2.3+ |
| Omfång | "Beroenden på toppnivå" (minimum) | Fullständigt beroendetre krävs |
| Fält | Inte specificerat | Detaljerade fältkrav |
| Leverans | "Vid begäran" | Proaktiva leveransmekanismer |
| Uppdateringar | När produkten ändras | Inom definierad tidsram |
Sårbarhethantering
| Aspekt | CRA-krav | TR-03183-specifikation |
|---|---|---|
| Format | Inte specificerat | CSAF 2.0 för rådgivningar |
| VEX | Inte explicit krävt | VEX-dokument förväntas |
| Tidpunkt | "Utan dröjsmål" | Specifika tidsramar |
| Samordning | CVD krävs | Detaljerad samordningsprocess |
TR-03183 Del 2: SBOM i detalj
Obligatoriska SBOM-format
TR-03183 accepterar:
- CycloneDX 1.4 eller senare (föredras)
- SPDX 2.3 eller senare
Andra format (SWID, egna) är inte kompatibla.
Obligatoriska fält
TR-03183 specificerar minimala obligatoriska fält:
SBOM OBLIGATORISKA FÄLT (TR-03183)
DOKUMENTMETADATA:
├── SBOM-format och version
├── Dokumentnamn/-identifierare
├── Skapande tidsstämpel
├── Verktyginformation för skaparen
├── Dokumentnamnsrymd (SPDX) / serialNumber (CycloneDX)
└── Specifikationsversion
PRIMÄR KOMPONENT (produkten):
├── Namn
├── Version
├── Leverantör/tillverkare
├── Unik identifierare (purl, CPE)
└── Beskrivning
VARJE KOMPONENT:
├── Namn
├── Version
├── Leverantör
├── Unik identifierare (purl föredras)
├── Licens(er)
├── Hash/kontrollsumma (SHA-256 minimum)
├── Komponenttyp (bibliotek, ramverk, etc.)
└── Relation till förälder
RELATIONER:
├── Beroendeförhållanden
├── Innehåller-relationer
└── Byggverktygrelationer (om tillämpligt)
SBOM-kvalitetskriterier
TR-03183 definierar kvalitetsförväntningar:
Fullständighet:
- Alla direkta beroenden inkluderade
- Transitiva beroenden inkluderade
- Operativsystemkomponenter (om inbyggda)
- Byggverktyg (om relevanta för säkerhet)
Noggrannhet:
- Korrekta versionsnummer
- Giltiga unika identifierare (purl-format)
- Korrekt licensinformation
- Funktionella hashar
Aktualitet:
- SBOM återspeglar aktuell produktversion
- Uppdateras med varje release
- Sårbarheter bedömda mot aktuell SBOM
Exempel på SBOM-generering
Kompatibel SBOM-struktur (CycloneDX):
{
"bomFormat": "CycloneDX",
"specVersion": "1.5",
"serialNumber": "urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79",
"version": 1,
"metadata": {
"timestamp": "2027-01-15T10:00:00Z",
"tools": [
{
"vendor": "Syft",
"name": "syft",
"version": "0.98.0"
}
],
"component": {
"type": "firmware",
"name": "SmartSensor Pro",
"version": "2.4.1",
"supplier": {
"name": "Example GmbH",
"url": ["https://example.de"]
},
"purl": "pkg:firmware/example/smartsensor-pro@2.4.1"
}
},
"components": [
{
"type": "library",
"name": "openssl",
"version": "3.0.12",
"purl": "pkg:generic/openssl@3.0.12",
"licenses": [
{
"license": {
"id": "Apache-2.0"
}
}
],
"hashes": [
{
"alg": "SHA-256",
"content": "abc123..."
}
],
"supplier": {
"name": "OpenSSL Software Foundation"
}
}
],
"dependencies": [
{
"ref": "pkg:firmware/example/smartsensor-pro@2.4.1",
"dependsOn": [
"pkg:generic/openssl@3.0.12"
]
}
]
}
TR-03183 Del 3: Sårbarhethantering
CSAF-formatkrav
TR-03183 kräver säkerhetsrådgivningar i CSAF (Common Security Advisory Framework) 2.0-format.
Varför CSAF:
- Maskinläsbart
- Standardiserad struktur
- Stöder automatisering
- Inkluderar produktträd och sårbarhetsmappning
VEX-krav
TR-03183 förväntar sig VEX-dokument (Vulnerability Exploitability eXchange):
Syfte: Kommunicera huruvida en känd sårbarhet i en komponent faktiskt påverkar din produkt.
Statusalternativ:
not_affected: Sårbarheten påverkar inte denna produktaffected: Sårbarheten påverkar denna produktfixed: Sårbarheten fanns men är nu åtgärdadunder_investigation: Fortfarande under bedömning
Praktisk implementering
SBOM-genereringsarbetsflöde
TR-03183 KOMPATIBELT SBOM-ARBETSFLÖDE
1. BYGGFAS
├── Generera SBOM under bygget
├── Verktyg: Syft, Trivy eller liknande
├── Format: CycloneDX 1.5
└── Inkludera alla beroenden
2. VALIDERINGSFAS
├── Verifiera att obligatoriska fält finns
├── Kontrollera purl-formatets giltighet
├── Validera hashar
└── Bekräfta fullständighet
3. SÅRBARHETSSKANNING
├── Skanna SBOM mot sårbarhetsdatabaser
├── Dokumentera fynd
├── Generera VEX för falskt positiva
└── Spåra åtgärder för sanna positiva
4. LEVERANS
├── Bifoga till produktrelease
├── Publicera på kundportal
├── Tillhandahåll på begäran
└── Uppdatera med varje version
5. UNDERHÅLL
├── Skanna periodiskt
├── Uppdatera VEX vid behov
├── Publicera rådgivningar (CSAF)
└── Spåra under produktens livscykel
TR-03183 Efterlevnadschecklista
TR-03183 EFTERLEVNADSCHECKLISTA
DEL 2 - SBOM:
Format:
[ ] CycloneDX 1.4+ eller SPDX 2.3+
[ ] Giltig enligt schema
[ ] Maskinläsbar
Metadata:
[ ] Dokumentidentifierare/serienummer
[ ] Skapande tidsstämpel
[ ] Verktyginformation för skaparen
[ ] Specifikationsversion
Primär komponent:
[ ] Produktnamn
[ ] Produktversion
[ ] Leverantörsinformation
[ ] Unik identifierare (purl)
Varje komponent:
[ ] Namn och version
[ ] Leverantörsinformation
[ ] Unik identifierare (purl föredras)
[ ] Licensinformation
[ ] Hash (SHA-256+)
[ ] Komponenttyp
Relationer:
[ ] Beroendeförhållanden definierade
[ ] Fullständigt beroendetre
Kvalitet:
[ ] Alla direkta beroenden inkluderade
[ ] Transitiva beroenden inkluderade
[ ] Versioner noggranna och aktuella
[ ] Identifierare giltiga
DEL 3 - SÅRBARHETHANTERING:
Rådgivningsformat:
[ ] CSAF 2.0-formatförmåga
[ ] Produktträd definierat
[ ] Sårbarhetsmappning
VEX:
[ ] VEX-dokument för SBOM-komponenter
[ ] Status för kända sårbarheter
[ ] Motivering för "not_affected"
Process:
[ ] Sårbarhetövervakning aktiv
[ ] Svarsprocess definierad
[ ] Publiceringsprocess för rådgivningar
[ ] Process för kundnotifiering
Relation till CRA-efterlevnad
TR-03183 som CRA bästa praxis
TR-03183 operationaliserar CRA-krav:
| CRA-krav | TR-03183-implementering |
|---|---|
| "Maskinläsbar SBOM" | CycloneDX/SPDX med specifika fält |
| "Identifiera sårbarheter" | SBOM-skanning + VEX-process |
| "Dokumentera sårbarheter" | CSAF-rådgivningar |
| "Åtgärda utan dröjsmål" | Definierad svarsprocess |
Framtida harmonisering
TR-03183 kan påverka:
- Framtida CRA harmoniserade standarder
- Europeisk standardisering (CEN/CENELEC)
- Andra medlemsstaters tekniska krav
Att implementera TR-03183 nu positionerar dig inför potentiella framtida krav.
Info: BSI TR-03183 är en tysk standard men håller på att bli den de facto kvalitetsbenchmarken för CRA SBOM-efterlevnad i hela EU.
Tips: Använd TR-03183-kvalitetsnivåer för att progressivt förbättra din SBOM: börja med Grundläggande, sikta på Heltäckande.
Relaterade guider:
- SBOM-krav under EU:s cyberresiliensakt
- Hur man genererar en CRA-kompatibel SBOM: verktyg, format och CI/CD-integration
Hur CRA Evidence hjälper
CRA Evidence stöder TR-03183-efterlevnad:
- SBOM-hantering: Stöd för CycloneDX och SPDX
- Validering: Kontrollera SBOM-fullständighet mot TR-03183-krav
- VEX-spårning: Hantera sårbarhetsstatus över produkter
- Rådgivningsstöd: Hjälp med CSAF-generering
- Tysk marknad: Specifik vägledning för BSI-samordning
Uppfyll TR-03183-krav på app.craevidence.com.
Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.
VERIFIERA MED PRIMÄRKÄLLAN: TR-03183-detaljer bör verifieras mot den officiella BSI-publikationen, eftersom specifikationer kan uppdateras.
Relaterade artiklar
Hur man Genererar ett Firmware SBOM: Öppna...
Steg-för-steg-guide för att generera ett Software Bill of Materials (SBOM)...
10 minCRA får sin instruktionsmanual: Vad kommissionens...
EU-kommissionen publicerade utkast till vägledning om cyberresiliensakter...
6 minÄr smarta kameror viktiga produkter under EU:s cyberresiliensakt?
Smarta säkerhetskameror klassificeras som viktiga produkter (klass I) under...
8 minDoes the CRA apply to your product?
Besvara 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.
Redo att uppnå CRA-efterlevnad?
Börja hantera dina SBOMs och efterlevnadsdokumentation med CRA Evidence.