Produkty CRA
—
Krytyczne CVE (KEV)
—
Produkty z SBOM
—
Annex I — Samoocena
—
🔴 Aktywne zagrożenia
CVE z KEV Catalog (CISA) · aktywnie eksploatowane
| CVE | Komponent | Severity | Produkt |
|---|---|---|---|
| CVE-2024-3094 | xz-utils 5.6.0 | CRITICAL 10.0 | FirmwareGW v2.1 |
| CVE-2024-6387 | OpenSSH <9.8p1 | CRITICAL 8.1 | IoT Hub v1.4 |
| CVE-2024-4577 | PHP 8.1.x | HIGH 7.5 | WebApp Portal |
📋 Annex I — Wymagania zasadnicze
Status realizacji CRA Essential Requirements
Ładowanie wyników samooceny...
📅 Ostatnia aktywność
⏱ Art. 14 — Terminy raportowania
Obowiązuje od 11.09.2026
SBOM — Lista produktów
Software Bill of Materials · Format CycloneDX 1.4+ / SPDX 2.3
| Produkt | Wersja | Kategoria CRA | Komponenty | CVE otwarte | SBOM format | Ostatni build |
|---|
Wgraj lub wygeneruj SBOM
Obsługiwane formaty: CycloneDX 1.4+ JSON, SPDX 2.3 JSON/YAML · Wymagany przez CRA Art. 13(24)
📤 Wgraj istniejący plik SBOM
Przeciągnij plik SBOM lub kliknij, aby wybrać
sbom.cdx.json · sbom.spdx.json · bom.json
⚙ Jak wygenerować SBOM — instrukcja krok po kroku
Co to jest SBOM?
Software Bill of Materials — lista wszystkich bibliotek i zależności w Twoim oprogramowaniu. Analogia: skład na opakowaniu produktu spożywczego. Wymagany przez CRA Art. 13(24) w formacie CycloneDX 1.4+ lub SPDX 2.3.
Software Bill of Materials — lista wszystkich bibliotek i zależności w Twoim oprogramowaniu. Analogia: skład na opakowaniu produktu spożywczego. Wymagany przez CRA Art. 13(24) w formacie CycloneDX 1.4+ lub SPDX 2.3.
Python
Node.js
Java
Go
Rust
Docker
Krok 1: Instalacja narzędzia
pip install cyclonedx-bom
Krok 2: Generowanie SBOM (wybierz swój menedżer pakietów)
# Dla Poetry (plik pyproject.toml)
cyclonedx-py poetry -o sbom.cdx.json
# Dla pip (plik requirements.txt)
cyclonedx-py requirements requirements.txt -o sbom.cdx.json
# Dla uv
cyclonedx-py environment -o sbom.cdx.json
Krok 3: Wgraj plik sbom.cdx.json powyżej lub zweryfikuj go wbudowanym walidatorem poniżej.
💡 Tip: Dodaj generowanie SBOM do CI/CD. W GitHub Actions dodaj krok:
run: cyclonedx-py poetry -o sbom.cdx.json przed krokiem deploy.
⚡ Automatyzacja CI/CD (GitHub Actions)
# .github/workflows/sbom.yml
name: SBOM Generation
on: [push, release]
jobs:
sbom:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: anchore/sbom-action@v0
with:
format: cyclonedx-json
output-file: sbom.cdx.json
- name: Upload to CRA Manager
run: |
curl -X POST $CRA_MANAGER_URL/api/sboms/upload \
-H "Authorization: Bearer $CRA_TOKEN" \
-F "sbom=@sbom.cdx.json" \
-F "product_id=$PRODUCT_ID"
📄 Walidacja SBOM
Sprawdź czy Twój plik spełnia wymagania CISA Minimum Elements przed wgraniem
CVE Monitor — Podatności
Automatyczne mapowanie SBOM ↔ NVD / OSV / KEV · zasilane przez Grype
KEV Alert: Wykryto 3 podatności z katalogu CISA Known Exploited Vulnerabilities. Zgodnie z Art. 14 CRA — wymagane wczesne ostrzeżenie do CSIRT w ciągu 24 godzin od wykrycia.
Wszystkie wykryte CVE
| CVE ID | Komponent | CVSS 4.0 | Severity | KEV | Produkt | Akcja |
|---|
Art. 14 CRA — Raportowanie incydentów
Obowiązki raportowania aktywnie eksploatowanych podatności · obowiązuje od 11.09.2026
Docelowo: raportowanie przez ENISA Single Reporting Platform (SRP) — platform.enisa.europa.eu.
Do czasu uruchomienia SRP: eksportuj JSON i złóż przez portal ENISA lub wyślij do krajowego CSIRT (PL: CSIRT NASK).
Terminy: ≤24h early warning → ≤72h notification → ≤14 dni final report po wydaniu patcha.
Terminy: ≤24h early warning → ≤72h notification → ≤14 dni final report po wydaniu patcha.
📝 Nowe zgłoszenie
Etap 1 — Early Warning (≤24h od wykrycia KEV)
📁 Otwarte zgłoszenia
Ładowanie...
✓ Annex I — Samoocena wymagań zasadniczych CRA
Regulation (EU) 2024/2847 · Annex I Part I · 8 wymagań zasadniczych · Samoocena producenta
To jest samoocena producenta — nie stanowi formalnej oceny zgodności (conformity assessment). Dla kategorii Important Class I/II i Critical wymagana jest ocena przez zewnętrzny organ (Notified Body).
Wybierz produkt aby zobaczyć formularz samooceny
✦ AI Doradca — CRA & SBOM
Asystent oparty na Claude · specjalizacja: CRA, SBOM, zarządzanie podatnościami
Zadaj pytanie lub opisz sytuację
Szybkie pytania:
✦ ODPOWIEDŹ AI
Zadaj pytanie, aby otrzymać odpowiedź opartą na wiedzy CRA / SBOM / cybersecurity.
Słownik pojęć CRA
Regulation (EU) 2024/2847 · ~200 terminów · 15 kategorii tematycznych
Integracje i narzędzia CI/CD
🔧 Syft (Anchore)
Universal SBOM generator · Apache 2.0 · 30+ ekosystemów
# Install
curl -sSfL https://raw.githubusercontent.com/anchore/syft/main/install.sh | sh -s -- -b /usr/local/bin
# Generuj SBOM z katalogu
syft /ścieżka/do/projektu -o cyclonedx-json=sbom.cdx.json
# Z obrazu Docker
syft docker:moj-obraz:latest -o cyclonedx-json=sbom.cdx.json
● Aktywny
Apache 2.0
🔍 Grype (Anchore)
Vulnerability scanner dla SBOM · NVD + OSV + GitHub Advisory
# Install
curl -sSfL https://raw.githubusercontent.com/anchore/grype/main/install.sh | sh -s -- -b /usr/local/bin
# Skanuj plik SBOM
grype sbom:sbom.cdx.json
# Skanuj z outputem JSON
grype sbom:sbom.cdx.json -o json > vulns.json
● Aktywny
Apache 2.0