Vilka SBOM-format stödjer CRA Evidence?

CRA Evidence stödjer CycloneDX (JSON och XML) och SPDX (JSON, tagg-värde och RDF) format. SBOM:er kan laddas upp via webbgränssnittet, REST API eller CI/CD CLI-verktyget.

Hur fungerar sårbarhetsskanning?

CRA Evidence operates its own Vulnerability Knowledge Base, synced every 15 minutes from NVD/cvelistV5, OSV.dev (covering GitHub, Go, Rust, PyPI advisories), CISA KEV, and EPSS scoring. CRA Evidence vulnerability scanner runs as an independent verification layer. Each finding is enriched with EPSS exploit probability scores from FIRST.org and cross-referenced with the CISA KEV catalog for known-exploited vulnerabilities. Production versions are rescanned automatically when vulnerability databases update. Findings that you dismiss or suppress automatically generate draft VEX statements for batch review and CycloneDX export.

Vad är ENISA artikel 14-rapportering?

Artikel 14 i Cyber Resilience Act kräver att tillverkare rapporterar aktivt utnyttjade sårbarheter till ENISA och nationella CSIRT:er inom strikta tidsramar: 24-timmars tidig varning, 72-timmars detaljerad rapport och 14-dagars slutrapport. CRA Evidence tillhandahåller strukturerade arbetsflöden och rapportgenerering för dessa skyldigheter.

Stödjer CRA Evidence alla ekonomiska aktörsroller i CRA?

Ja. CRA Evidence tillhandahåller dedikerade arbetsflöden för alla tre CRA-roller: Tillverkare (fullständig efterlevnadsverktygslåda), Importörer (verifiering och due diligence) och Distributörer (kontroller av vederbörlig omsorg och dokumentation). Varje roll får en anpassad arbetsyta med rollspecifika funktioner.

Kan CRA Evidence integreras med CI/CD-pipelines?

Ja. CRA Evidence tillhandahåller ett CLI-verktyg och REST API för CI/CD-integration. Du kan ladda upp SBOM:er, kontrollera CRA-efterlevnadsstatus och styra releaser baserat på sårbarhetströsklar direkt i dina GitHub Actions-, GitLab CI- eller Jenkins-pipelines.

CRA-efterlevnadsplattform | SBOM, VEX och ENISA-rapportering

Artefakthantering

Dina SBOM, validerade och versionerade

Ladda in en CycloneDX- eller SPDX-fil. Vi validerar den mot BSI TR-03183 kvalitetskriterier, betygsätter dess fullständighet och sparar revisionsredo register för varje produktversion.

CycloneDX och SPDX Format identifieras automatiskt vid uppladdning. CycloneDX 1.6 schemavalidering, SPDX 2.2+ tolkning.

TR-03183 kvalitetsbedömning Viktade mätvärden för PURL, hashar, leverantör, licens och versionskompletthet.

HBOM- och VEX-stöd Hardware Bill of Materials och VEX-extraktion (Vulnerability Exploitability eXchange) från CycloneDX.

Visualisering av beroendegrafen Interaktivt Mermaid.js-komponentträd med expansion av transitiva beroenden och klicknavigering.

Versionsjämförelse och driftidentifiering Jämför SBOM mellan versioner. Identifiera nya, borttagna och ändrade komponenter.

VEX-skapande Skapa och publicera VEX-uttalanden (Vulnerability Exploitability eXchange) direkt i appen. Exportera som CycloneDX VEX.

CycloneDX SPDX HBOM VEX SARIF

Kvalitetspoäng

Automatisk bedömning mot BSI TR-03183-standarden med förbättringsrekommendationer.

Beroendekarta

Visualisera direkta och transitiva beroenden med cirkulär beroendedetektering.

Versionsjämförelse

Jämför SBOM mellan versioner. Spåra vad som förändrades och varför.

Licenskontroll

Identifiera problematiska licenskombinationer bland dina komponenter.

Sårbarhetsskanning

Identifiera nya CVE:er på minuter, inte dagar

Vi synkroniserar sårbarhetsinformation från NVD, OSV.dev, CISA KEV och EPSS var 15:e minut och verifierar sedan resultaten på nytt med en fristående skanner. Snabbare detektion, färre blinda fläckar.

Synkroniserad var 15:e minut NVD/cvelistV5, OSV.dev, CISA KEV och EPSS uppdateras med 15-minuters intervall.

Fristående verifieringslager Skannern kontrollerar resultaten separat, så att missade upptäckter i en källa ändå kan fångas upp.

Prioritering baserad på EPSS Varje resultat berikas med EPSS-data så att team kan fokusera på trolig faktisk exploatering, inte bara på rå allvarlighetsgrad.

Automatiska omskanningar och KEV-avstämningar Produktions- och stagingversioner skannas om automatiskt och resultaten stäms av mot CISA KEV-katalogen.

Åtgärdsspårning Femstegs livscykel per sårbarhet: start, åtgärd, verifiering, release. Statusspårning per berörd version.

Undertryckningshantering Undertryck falska positiva med motivering, utgångsdatum och godkännandearbetsflöden.

Nåbarhetsanalys Markera komponenter som nåbara eller onåbara för att prioritera det som faktiskt spelar roll.

CSAF-rådgivningar Fullständig livscykel för rådgivning: import, validering, publicering. Från utkast till slutversion med semantisk jämförelse. Kompatibel med CRA artikel 11.

Sårbarhetsdatabas Five authoritative sources aggregated into a single local knowledge base: NVD/cvelistV5, OSV.dev, GitHub Security Advisories, CISA KEV, and EPSS. Synced every 15 minutes. Our vulnerability scanner runs as an independent verification layer for zero blind spots.

Automatiserat VEX-arbetsflöde och täckningsuppföljning Triage-beslut genererar automatiskt utkast till VEX-utlåtanden: undertryckningar, avvisningar och statusändringar för åtgärder matar alla VEX-bryggan. Granska i grupp och publicera med ett klick. Exportera VEX som följer CycloneDX 1.6 per version. Följ täckningsgraden över alla bedömda sårbarheter som en enda revisionsfärdig siffra.

Korrelerad sårbarhetsinformation

Synkronisering var 15:e minut

Källa NVD / cvelistV5 Grundläggande CVE-uppdateringar

Källa OSV.dev Ekosystemspecifika rådgivningar

Källa CISA KEV Kända utnyttjade sårbarheter

Källa EPSS Sannolikhet för faktisk exploatering

Steg 1 Aggregera och verifiera

Flera informationsflöden korreleras och kontrolleras sedan på nytt med en fristående skanner.

Steg 2 Prioritera det som spelar roll

KEV- och EPSS-data lyfter fram de resultat som mest sannolikt blir verkliga driftproblem.

KEV-träff Prioriterad enligt EPSS

Resultat Verifierade resultat går snabbare till åtgärd

Automatiska omskanningar håller produktions- och stagingversioner aktuella medan arbetsflödet förblir fokuserat på aktiv risk.

Teknisk dokumentation

Annex VII-paket, redo när du behöver dem

Artikel 13 kräver 10 års teknisk dokumentation. Vi genererar Annex VII-paketen, certifikaten och efterlevnadsrapporterna så att förfrågningar från marknadskontrollmyndigheter inte kommer som en överraskning.

Export av teknisk fil

En ZIP med allt: maskinläsbart manifest (JSON), SBOM (CycloneDX/SPDX), intyg, efterlevnadschecklista och attribueringsrapporter. Mänskligt läsbar och maskinläsbar, strukturerad enligt Annex VII.

EU-försäkran om överensstämmelse

Generera EU DoC-dokument med korrekt formatering, versionshantering och CE-märkning-spårning.

Efterlevnadsrapporter

PDF eller HTML. Sårbarhetssummering, komponentinventering, kvalitetspoäng och åtgärdsstatus i en rapport du kan överlämna till revisorer.

Säkerhetsdatablad

Annex II-guide för säkerhetsdatablad. Utkasta, validera och publicera. Exportera som PDF, Markdown eller HTML.

Certifikat

Certifikatets livscykel: utkast, utfärdande, återkallelse. Oföränderliga utfärdade certifikat med nedladdningsbar PDF-generering.

Flerspråkiga dokument

Generate documents in 8 languages: English, Spanish, German, French, Italian, Polish, Dutch, and Swedish.

Annex I-beredskap

Bedöm din produkt mot alla 20 väsentliga cybersäkerhetskrav från CRA Annex I del I. Spåra vad som är uppfyllt och vad som saknas.

Artefaktsignering

Sigstore-baserad signering för SBOM och artefakter. Nyckellöst och nyckelbaserat läge med signaturverifiering för leveranskedjans integritet.

Spårning av supportperiod

Definiera och spåra den obligatoriska minimiperioden på 5 år för support enligt CRA artikel 13(5). Aviseringar när produkter närmar sig supportslut.

ENISA-meddelanden

Missa aldrig en ENISA-tidsfrist

Artikel 14 har två rapporteringsspår med separata tidsfrister: sårbarheter och allvarliga incidenter. Vi hanterar båda med strukturerade mallar och nedräkningsuppföljning.

24h

Tidig varning

Initial sårbarhetavisering inom 24 timmar från identifiering. CVE-ID, berörda produkter och bedömning av attackkomplexitet.

72h

Detaljerad avisering

Teknisk analys med åtgärdstidslinje, lösningar och utvidgad konsekvensbedömning inom 72 timmar.

14d

Slutrapport

Bekräftelse av åtgärd med detaljer om permanent lösning, driftsättningstidslinje och lärdomar. 14 dagar för sårbarheter, 30 dagar för incidenter.

Tidsfristpåminnelser Automatiska aviseringar innan varje skyldighet löper ut

ENISA SRP-redo Strukturerade datapaket för ENISA:s gemensamma rapporteringsplattform. Dag-ett-integration när API:et lanseras.

Inlämningshistorik Fullständig revisionslogg för alla genererade aviseringar och statusspårning

Incidenthantering Separat arbetsflöde för allvarliga incidenter (art. 14(3)). 30-dagars slutrapport jämfört med 14 dagar för sårbarheter.

PDF-rapporter och förseningsvarningar Tidiga varningar, detaljerade och slutrapporter i PDF-format. Nedräkning i panelen när deadlines närmar sig.

CSIRT-samordning Samtidig anmälan till ENISA och ditt nationella CSIRT enligt artikel 14.

Hårdvara och firmware

Byggd för produkter med hårdvarukomponenter

Maskiner, inbyggda system och IoT-enheter behöver mer än mjukvaru-SBOM:er. CRA Evidence stöder hela hårdvaruproduktlivscykeln.

HBOM-spårning Hardware Bill of Materials med 15 komponenttyper inklusive sensorer, aktuatorer och mikrokontroller.

Firmware SBOM-analys Ladda upp en SBOM från din firmware eller hårdvarukomponenter och kontrollera automatiskt all inbyggd programvara mot kända CVE:er.

CE-märkningsarbetsflöde Spåra bedömning av överensstämmelse med fullständigt granskningsspår. Generera EU-försäkringar om överensstämmelse.

Fysisk märkning Digitala produktpass med QR-koder för hårdvaruprodukter.

Läs mer om CRA-efterlevnad för maskinbyggare

Byggt för alla CRA-roller

Dashboards för tillverkare, importörer och distributörer

CRA ålägger tillverkare (art. 13), importörer (art. 19) och distributörer (art. 20) olika skyldigheter. Varje roll får sin egen arbetsyta med de arbetsflöden som faktiskt spelar roll för dem.

Produkt- och versionshantering

Produkter organiserade efter CRA-kategori: Standard, Viktig klass I/Klass II, Kritisk. Varje version spårar sitt frisläppningstillstånd, miljö och lagringsnivå.

Fullständig artefaktpipeline

Ladda upp SBOM, HBOM och VEX per version. Kvalitetsbedömning och sårbarhetsskanning aktiveras automatiskt.

Sårbarhet- och incidenthantering

CVE-spårning, åtgärdsarbetsflöden, ENISA-aviseringar. Säkerhetsdashboarden rangordnar allt efter EPSS-poäng och markerar CISA KEV-poster.

Generering av tekniska filer

Annex VII-export paketerar allt i en ZIP: maskinläsbara SBOM, efterlevnadschecklistor, attribueringsrapporter och överensstämmelsedeklarationer. Redo för automatiserade marknadskontrollrevisioner.

Kundaviseringar

Sårbarhetaviseringssystem för nedströmskunder. Flerspråkiga mallar med hantering av distributionslistor.

Förtroendemärken

Inbäddbara efterlevnadsmärken för dina produktsidor. Länka till offentlig verifiering av din CRA-efterlevnadsstatus.

Spårning av bedömning av överensstämmelse

Spåra din bedömningsväg baserat på produktkategori: egenbedömning (Standard), intern kontroll (Viktig klass I) eller tredjepartspart (Viktig klass II, Kritisk).

Digitala produktpass

Generera dynamiska, offentligt tillgängliga digitala produktpass för mjukvaru- och hårdvaruprodukter. QR-koder för fysisk märkning, JSON-LD och PDF-export — flerspråkiga och maskinläsbara.

Flerspråkiga dokument

Generera teknisk dokumentation, efterlevnadsrapporter och digitala produktpass på 8 EU-språk: engelska, spanska, tyska, franska, italienska, polska, nederländska och svenska.

Artikel 19 verifieringsarbetsflöde

Steg-för-steg checklista som täcker vad artikel 19 kräver: CE-märkningskontroll, Annex II-granskning, importör-ID på produkten, EU-försäkran om överensstämmelse insamlad, slutgodkännande.

Tillverkarregister

Håll koll på dina tillverkare: kontakter, EU-representanter, CVD/CSAF-metadata. Ange hur ofta varje tillverkare behöver reverifieras.

Leveransstoppsbeslut

Hittade ett problem? Blockera produkten. Registrera din motivering, avisera intressenter och rapportera till myndigheten. Allt spåras.

Triggers för reverifiering

Ny sårbarhet hittad? Större uppdatering released? Granskningsdatum nästa? Du får en avisering om att reverifiera.

Klona verifieringar

Granskar du en ny version av samma produkt? Klona den föregående verifieringen. Checklistestatus och tillverkardata överförs.

Verifieringsdashboard

Se på ett ögonkast var allt står: hur många produkter som är verifierade, avvaktande, blockerade eller förfallna för reverifiering.

Artikel 20 checklista för tillbörlig aktsamhet

Allt som artikel 20 kräver, i en checklista: produkt-ID och spårbarhet, CE-märkning, EU-deklaration, tillverkarkontakter, avvikelsedetektering.

Uppladdning av CE-bevis

Ladda upp dina CE-märkningsbevis: foton, skanningar, certifikat. Kontroller av filtyp och storlek är inbyggda, och allt loggas i revisionsloggen.

Verifieringscertifikat

Generera PDF-certifikat som bevisar efterlevnad av tillbörlig aktsamhet. Inkluderar distributöruppgifter, omfattning, datum och unikt verifieringsnummer.

Leveransstoppsåtgärder

Något är fel? Stoppa distributionen. Motiveringen registreras och myndigheter samt tillverkare aviseras.

Portfolyöversikt

Se alla dina verifieringar på ett ställe. Filtrera efter status, produkt eller slutförandedatum för att hitta vad som behöver uppmärksamhet.

Efterlevnadsframsteg

Visuella förloppsbalkar per produkt. Du kan på ett ögonkast se hur långt varje verifiering kommit och vad som återstår.

CI/CD och automatisering

Passar in i din byggpipeline

Det finns ett CLI och ett REST API. Ladda upp SBOM, utlös skanningar och kontrollera releaser från CI. Fungerar med GitHub Actions, GitLab CI eller vad som helst som kan köra ett shell-kommando.

CLI-verktyg Ladda upp SBOM/HBOM/VEX, skanna, kontrollera status, hantera releaser och jämför versioner från terminalen.

Allvarlighetsgränser för misslyckande Misslyckas CI-byggen när kritiska eller höga sårbarheter detekteras. Konfigurerbart per pipeline.

Begränsade API-nycklar Detaljerade behörigheter: sbom:read, sbom:write, vuln:read, vuln:write och mer. Hastighetsbegränsad och reviderad.

Webhooks Ta emot händelser för sårbarhetsfynd, ENISA-tidsfristwarningar och andra efterlevnadshändelser.

Policymotor Policy-as-code-regler för licenser, sårbarhetsgränser, kvalitetspoäng och blockerade komponenter. Räckvidd från global till per version.

Godkännandeportar för release Konfigurerbara godkännandearbetsflöden före versionsreleaser. Manuella portar och automatiserade villkorskontroller.

# Skanna en Docker-image och ladda upp SBOM
$ docker run --rm \
-e CRA_EVIDENCE_API_KEY="cra_xxx" \
-v /var/run/docker.sock:/var/run/docker.sock \
craevidence/cli:latest \
upload-sbom \
--product my-app \
--version 2.1.0 \
--image my-app:2.1.0 \
--scan --fail-on high

Upload successful!

Product       my-app (created new)
Version       2.1.0 (created new)
Components    142
Quality Score 87%

Vulnerabilities
  Critical    0
  High        0
  Medium      3
  Low         1

GitHub Actions GitLab CI Jenkins Alla CI-system

Visa fullständig CI/CD-integrationsguide

Integrationer

Fungerar med det du redan använder

Jira

Skapa ärenden för sårbarheter direkt

Slack

Realtidsaviseringar om sårbarheter och tidsfrister

GitHub

Synkronisering av säkerhetsrådgivning och repo-integration

Dependency-Track

Importera SBOM från befintliga instanser

Microsoft Teams

Aviseringar i dina Teams-kanaler

ENISA-tidsfrister

Automatiska påminnelser efter 24 tim., 72 tim., 14/30 dagar

Leverantörsportal

Kundorienterad SBOM-delning med åtkomstkontroll

Generisk webhook

Skicka händelser till valfri HTTP-slutpunkt

Säkerhet och förtroende

Byggt för att förtjäna ditt förtroende med efterlevnadsdata

Åtkomstkontroll

Rollbaserad åtkomst

Owner-, Admin-, Member- och Viewer-roller. Begränsade API-nycklar med detaljerade behörigheter.

SSO och MFA

SAML 2.0, Google och Microsoft OAuth, SCIM-provisionering. TOTP multifaktor.

Dataskydd

Kryptering

AES-256 i vila, TLS 1.3 vid överföring. Argon2id-lösenordshashning.

Multitenancy

Fullständig klientisolering. Varje fråga upprätthåller organisationsgränser.

Observerbarhet

Revisionsloggning

Fullständig spårbarhet för alla åtgärder. Sökbar revisionslogg med CSV-export.

Hastighetsbegränsning

Glidande fönster-hastighetsbegränsning på inloggnings-, API- och uppladdningsslutpunkter.

Efterlevnad

Innehållssäkerhet

Strikta CSP-rubriker, CSRF-skydd, HTML-sanering och HSTS.

10 års lagring

Produktionsdata lagras i 10 år enligt CRA artikel 13. Nivåbaserad lagring.

Gratisverktyg

Inte säker på om CRA gäller för dig?

Ta reda på dina skyldigheter innan du registrerar dig för något. Dessa verktyg är kostnadsfria och kräver inget konto.

CRA-tillämplighetskontroll 11-fråge-guide för att avgöra om Cyber Resilience Act gäller för din produkt. Täcker sektorsundantag, anslutningskrav och produktklassificering.

CRA-rollquiz Ta reda på om du är tillverkare, importör eller distributör enligt CRA. Olika roller har olika skyldigheter.

Delbara resultat Dela dina resultat med kollegor eller juridiska team via en unik länk. Tillgängligt på alla 8 europeiska språk.

Prova CRA-tillämplighetskontrollen Prova kostnadsfritt CRA-quiz

Ingen registrering krävs. Tar ungefär 2 minuter.

CRA Evidence Platform

Dina SBOM, validerade och versionerade

Kvalitetspoäng

Beroendekarta

Versionsjämförelse

Licenskontroll

Identifiera nya CVE:er på minuter, inte dagar

Annex VII-paket, redo när du behöver dem

Export av teknisk fil

EU-försäkran om överensstämmelse

Efterlevnadsrapporter

Säkerhetsdatablad

Certifikat

Flerspråkiga dokument

Annex I-beredskap

Artefaktsignering

Spårning av supportperiod

Missa aldrig en ENISA-tidsfrist

Tidig varning

Detaljerad avisering

Slutrapport

Byggd för produkter med hårdvarukomponenter

Dashboards för tillverkare, importörer och distributörer

Produkt- och versionshantering

Fullständig artefaktpipeline

Sårbarhet- och incidenthantering

Generering av tekniska filer

Kundaviseringar

Förtroendemärken

Spårning av bedömning av överensstämmelse

Digitala produktpass

Flerspråkiga dokument

Artikel 19 verifieringsarbetsflöde

Tillverkarregister

Leveransstoppsbeslut

Triggers för reverifiering

Klona verifieringar

Verifieringsdashboard

Artikel 20 checklista för tillbörlig aktsamhet

Uppladdning av CE-bevis

Verifieringscertifikat

Leveransstoppsåtgärder

Portfolyöversikt

Efterlevnadsframsteg

Passar in i din byggpipeline

Fungerar med det du redan använder

Jira

Slack

GitHub

Dependency-Track

Microsoft Teams

ENISA-tidsfrister

Leverantörsportal

Generisk webhook

Byggt för att förtjäna ditt förtroende med efterlevnadsdata

Rollbaserad åtkomst

SSO och MFA

Kryptering

Multitenancy

Revisionsloggning

Hastighetsbegränsning

Innehållssäkerhet

10 års lagring

Inte säker på om CRA gäller för dig?

Se det i aktion: skapa din första SBOM på några minuter