TL;DR
本詞彙表涵蓋 EU 網路韌性法(CRA)的核心術語:SBOM(軟體物料清單)、CycloneDX、SPDX、VEX(漏洞可利用性交換)、VKB(漏洞知識庫)、CSAF、CVE、EPSS、KEV、TR-03183、ENISA 通報、CE標誌、諧調標準、公告機構、風險評估、技術文件要求及符合性評估。在2027年12月截止日期前準備 CRA 合規時,請參考本詞彙表。
CRA 合規詞彙表
理解 EU 網路韌性法、軟體供應鏈安全標準及合規要求的核心術語。
A
附件VII
CRA 附件VII規定了製造商須為含數位元素之產品擬定的EU適合性宣言的最低內容,包括產品識別、製造商詳細資料、所適用標準及授權代表簽名。
第13條 - 製造商義務
CRA 第13條規定核心製造商義務:設計安全、SBOM 維護、漏洞處理、在整個產品生命週期內提供安全更新,以及至少保留10年技術文件。
第14條 - 通報義務
CRA 第14條要求製造商於24小時內(早期預警)、72小時內(詳細報告)及14天內(最終報告)向 ENISA 通報被積極利用的漏洞。嚴重事件遵循相同模式,但最終報告截止期為30天。
C
CE標誌
表示符合 EU 法規的歐洲符合性標誌。依據 CRA,含數位元素之產品須標示 CE標誌方可在 EU 市場合法銷售。須完成符合性評估及EU適合性宣言。
CRA - 網路韌性法
EU 法規 2024/2847,為在歐盟銷售的含數位元素之產品(PDE)建立強制性網路安全要求。於2024年12月10日生效,主要義務自2027年12月11日起適用。涵蓋具備網路連線能力的硬體及軟體產品。
CSAF - 通用安全公告框架
OASIS 機器可讀安全公告標準,可自動處理漏洞揭露資訊。用於 CRA 要求下的協調漏洞揭露(CVD)及 ENISA 通報。
CSIRT - 電腦安全事件回應小組
指定網路安全機構,製造商依 CRA 第14條須向其通報被積極利用的漏洞及重大事件,並與 ENISA 協調 EU 層級的漏洞回應。
CVD - 協調漏洞揭露
在公開公告前負責任地向廠商揭露安全漏洞的程序。CRA 第13條(8)要求製造商建立並發布 CVD 政策,包括安全聯絡資訊。
CVE - 通用漏洞揭露
公開已知網路安全漏洞的標準化識別符(例如 CVE-2024-12345)。由 MITRE Corporation 管理,全球用於漏洞追蹤、揭露及修復協調。
CVSS - 通用漏洞評分系統
以0至10分評估漏洞嚴重性的行業標準。CVSS 4.0 為最新版本,提供基礎、時間及環境三類指標。關鍵(9.0-10.0)、高(7.0-8.9)、中(4.0-6.9)、低(0.1-3.9)。
CycloneDX
OWASP 建立軟體物料清單(SBOM)及相關成品的標準,支援 SBOM、VEX、HBOM、SaaSBOM 等格式。建議使用1.5或以上版本。BSI TR-03183 將其列為 CRA 合規的優選格式。
關鍵產品 — CRA 附件IV
為其他產品、網路或服務執行基本網路安全功能的含數位元素之產品。列於 CRA 附件IV,包括 HSM、智慧卡讀取器、安全元件及具備安全箱的硬體裝置。關鍵產品須取得適用方案下的歐洲網路安全認證,或在無適用方案時,由公告機構進行第三方符合性評估。
D
預設產品類別
依 CRA 附件III及IV定義,未歸類為重要或關鍵的含數位元素之產品。預設產品可依 CRA 附件VIII由製造商進行內部控制(自我評估),無需第三方參與。此類別涵蓋絕大多數消費性及商業軟硬體產品。
經銷商
供應鏈中除製造商或進口商以外,在 EU 市場提供含數位元素之產品的任何實體。經銷商在提供產品前須確認產品標示 CE標誌並附有EU適合性宣言。若經銷商修改產品,則依 CRA 視為製造商。
E
ENISA - 歐盟網路安全局
負責網路安全政策與事件協調的 EU 機構。依據 CRA,製造商須於24小時內向 ENISA 通報被積極利用的漏洞,嚴重事件須於72小時內通報。通報義務自2026年9月11日起生效。
EPSS - 漏洞利用預測評分系統
FIRST.org 模型,估算漏洞在未來30天內於實際環境中被利用的機率(0-100%)。與 CVSS 配合用於風險導向的漏洞優先排序。EPSS 越高 = 修復優先級越高。
EU適合性宣言
正式文件,聲明產品符合包括 CRA 在內的相關 EU 法規。須由製造商或授權代表簽署,CE標誌所須具備,且須引用適用的諧調標準。
H
HBOM - 硬體物料清單
產品中硬體元件的機器可讀清單,包括處理器、記憶體、積體電路及韌體。補充 SBOM 以實現完整產品透明度。CycloneDX 支援 HBOM 格式。
諧調標準
由認可標準化機構(CEN、CENELEC、ETSI)採用並在 EU 官方公報中引用的歐洲標準。符合諧調標準的產品可推定符合相應的 CRA 基本要求,從而簡化符合性評估。
I
進口商
在歐洲市場投放 EU 以外製造商含數位元素之產品的 EU 實體。進口商須確認製造商已完成符合性評估、已貼附 CE標誌且技術文件齊備。進口商與製造商共同承擔不合規產品的責任。
重要產品(第I類) — CRA 附件III,第I部分
執行網路安全相關功能或具有較高風險的含數位元素之產品。第I類包括身分管理系統、VPN、網路管理工具、SIEM 系統、開機管理程式及 CRA 附件III第I部分所列其他類別。製造商須適用涵蓋所有基本要求的諧調標準(可自我評估),或由公告機構進行第三方符合性評估。
重要產品(第II類) — CRA 附件III,第II部分
執行關鍵網路安全功能且具有重大風險的含數位元素之產品。第II類包括作業系統、虛擬機器監控程式、防火牆、入侵偵測系統、微控制器、工業自動化系統及 CRA 附件III第II部分所列其他類別。無論是否存在諧調標準,此類產品均須由公告機構進行第三方符合性評估。
K
KEV - 已知被利用漏洞
CISA 收錄在實際環境中被積極利用漏洞的權威目錄,代表已確認的現實威脅,具有最高修復優先級。聯邦機構須在規定時限內修復 KEV 漏洞。
M
製造商
開發或生產含數位元素之產品並以自身名稱或商標在 EU 市場投放的實體。製造商承擔主要 CRA 義務:進行風險評估、維護 SBOM、處理漏洞、提供至少五年的安全更新,以及向 ENISA 通報被利用的漏洞。
N
NVD - 國家漏洞資料庫
由 NIST 維護的美國政府漏洞資料儲存庫,以 CVE 識別符為基礎,提供 CVSS 評分、CPE(受影響產品)資訊、CWE 分類及修復指引。
O
OSV.dev - 開源漏洞資料庫
由 Google 維護的開源漏洞資料庫,將 GitHub(GHSA)、Go、Rust、PyPI 及15個以上生態系統的安全公告彙整為單一可查詢 API。CRA Evidence 使用 OSV.dev 作為輔助漏洞來源,與 NVD 配合,以捕獲生態系統特定資料庫在取得 CVE ID 前已追蹤的公告。
P
PDE - 含數位元素之產品
任何與其他裝置或網路有連接(直接或間接)的軟體或硬體產品。CRA 法規的核心適用範圍,包括 IoT 裝置、工業設備、消費性電子產品及獨立軟體。
PURL - 套件 URL
跨生態系統識別軟體套件的標準化格式(例如 pkg:npm/lodash@4.17.21)。用於 SBOM 中唯一識別元件,可實現自動化漏洞比對及授權合規。
R
RDPS - 遠端資料處理方案
作為含數位元素之產品一部分,遠端處理資料的雲端或 SaaS 功能。若符合三重測試則屬於產品 CRA 符合性評估範圍:資料「在遠端」處理、缺少該功能產品將失去核心功能,以及由製造商設計或在其責任下設計。不符合此測試的第三方 SaaS 仍須依第13條(5)盡職調查視為元件處理。
風險評估
識別、分析及評估含數位元素之產品網路安全風險的系統化程序。CRA 第13條(2)有此要求,須記錄於技術文件中。涵蓋整個產品生命週期的威脅、漏洞、潛在影響及風險緩解措施。
S
SBOM - 軟體物料清單
軟體元件及相依性的正式機器可讀清單,包含版本、授權及關聯性。CRA 第13條(4)要求用於漏洞管理及供應鏈透明度,可採用 CycloneDX 或 SPDX 格式。
SPDX - 軟體套件資料交換
ISO/IEC 5962:2021 軟體物料清單資訊交換標準,由 Linux Foundation 開發,廣泛用於授權合規及漏洞追蹤。建議使用2.2.1或以上版本以符合 CRA 合規要求。
T
技術文件
展示 CRA 合規的完整文件套件,包括風險評估、SBOM、安全設計文件、漏洞處理程序、測試結果及EU適合性宣言。須保留10年或產品使用年限(以較長者為準)。
TR-03183
德國 BSI(聯邦資訊安全辦公室)技術指南,提供 SBOM 建立與管理的詳細要求,廣泛作為 CRA 第13條合規最佳實踐的參考依據,規定 SBOM 最低欄位、格式及更新要求。
V
VKB - 漏洞知識庫
持續更新的漏洞資料庫,將 NVD/cvelistV5、OSV.dev、GitHub Advisories、CISA KEV 及 EPSS 等多個來源的公告彙整為單一可查詢知識庫。VKB 不同於依需求對單一來源掃描相依性,而是維護所有已知漏洞的本地鏡像,並在新 CVE 發布時與軟體元件進行比對。這將偵測延遲從數小時或數天縮短至數分鐘,同時交叉比對多個來源可降低遺漏公告的風險。
VEX - 漏洞可利用性交換
傳達特定產品中漏洞可利用狀態的文件,說明某 CVE 是否影響您的產品(受影響、不受影響、已修復、調查中)。有助於下游使用者減少誤報造成的警示疲勞。