Dieses Dokument befindet sich in aktiver Entwicklung und ist noch nicht finalisiert.
Skip to content

8.1 Tooling-Zuordnung

8.1.1 Tool → CRA-Anforderungsmatrix

Diese Zuordnung zeigt, welches Tool welche CRA-Anforderungen abdeckt.

8.1.2 GitHub Ecosystem

Dependabot

CRA-AnforderungAbdeckung
Annex I Teil II (1) – Schwachstellen ermittelnAutomatische CVE-Alerts für Abhängigkeiten
Annex I Teil II (2) – SicherheitsupdatesAutomatische PRs bei verfügbaren Updates
Annex I, Teil II, Nr. 2 – Unverzügliche BehebungAuto-Merge für Patch-Updates
Annex I, Teil II, Nr. 5 – Drittkomponenten überwachenKontinuierliches Dependency Monitoring

GitHub Security Advisories

CRA-AnforderungAbdeckung
Annex I Teil II (5) – Koordinierte OffenlegungPrivate Advisory, CVE-Zuweisung
Art. 14 Abs. 8 – NutzerbenachrichtigungÖffentliches Advisory mit Handlungsempfehlung
Annex I, Teil II, Nr. 4 – Offenlegung behobener CVEsSecurity Advisory veröffentlichen

GitHub Actions (Automation-Templates)

WorkflowCRA-AnforderungFunktion
automatic-release.ymlAnnex I Teil II (2)Automatisierte Release-Pipeline
modules-security-scan.ymlAnnex I Teil II (1)Multi-Engine Security Scanning
modules-license-compliance.ymlArt. 13 Abs. 5, Annex I Teil II (1)Lizenzprüfung + SBOM
docker-build.ymlAnnex I Teil II (7)Image-Build + Signing
docker-maintenance-dependabot.ymlAnnex I, Teil II, Nr. 2Auto-Merge Dependency Updates
modules-docker-base-image-monitor.ymlAnnex I, Teil II, Nr. 5Base Image Aktualisierung
security-management.ymlArt. 13 Abs. 8SECURITY.md Auto-Generierung
teams-notifications.ymlArt. 14 (unterstützend)Incident-Kommunikation

8.1.3 Security Scanning

Trivy (Aqua Security)

CRA-AnforderungAbdeckung
Annex I Teil II (1)Container-Image Vulnerability Scanning
Annex I Teil I (2)(a)Erkennung bekannter ausnutzbarer Schwachstellen
Annex I Teil II (1)SBOM-Generierung (CycloneDX, SPDX)
Annex I, Teil II, Nr. 1Komponentenerkennung für SBOM
Annex I, Teil II, Nr. 3Regelmäßige Sicherheitstests (CI/CD)

Grype (Anchore)

CRA-AnforderungAbdeckung
Annex I Teil II (1)Vulnerability Scanning (komplementär zu Trivy)
Annex I, Teil II, Nr. 1CVE-Matching gegen SBOM

OSV-Scanner (Google)

CRA-AnforderungAbdeckung
Annex I Teil II (1)OSV-Datenbank-basiertes Vulnerability Scanning
Annex I Teil I (2)(a)Erkennung bekannter Schwachstellen (aggregiert NVD, GitHub, PyPI, npm, Go u.a.)
Annex I, Teil II, Nr. 2CVE-Matching gegen Lockfiles und SBOMs

Snyk

CRA-AnforderungAbdeckung
Annex I Teil II (1)Application Security Scanning
Annex I, Teil II, Nr. 3Code-Level Vulnerability Detection

Gitleaks + GitGuardian

CRA-AnforderungAbdeckung
Art. 13 Abs. 1Verhinderung von Secret Exposure
Annex I, Teil I, Nr. 5Schutz vor unbefugtem Zugriff (Secrets)

8.1.4 SBOM & Compliance

Syft (Anchore)

CRA-AnforderungAbdeckung
Annex I Teil II (1)SBOM-Generierung (CycloneDX JSON)
Annex I, Teil II, Nr. 1Komponentenerkennung und -dokumentation
Annex VII Nr. 1Produktbeschreibung (Abhängigkeiten)

FOSSA / License Compliance

CRA-AnforderungAbdeckung
Art. 13 Abs. 5Sorgfaltspflicht bei Drittkomponenten (Lizenzen)
Annex I, Teil II, Nr. 1Lizenzinventar als Teil der SBOM

8.1.5 Signing, Attestation & Integrity

Cosign (Sigstore)

CRA-AnforderungAbdeckung
Annex I Teil II (7)Integritätsschutz von Updates
Annex I, Teil I, Nr. 3.2Integritätsschutz (Daten/Artefakte)
Annex I, Teil II, Nr. 6Sichere Bereitstellung von Updates

GitHub Attestation (Sigstore via GitHub)

CRA-AnforderungAbdeckung
Annex I Teil II (7)Kryptografische Provenienz der SBOM
Annex I, Teil I, Nr. 3.2Verifizierbare Build-Zeit-Integrität

Belt + Suspenders

Es werden sowohl Cosign (portabel) als auch GitHub Attestation (nativ) gleichzeitig verwendet. Cosign funktioniert außerhalb von GitHub; Attestation ist über gh attestation verify verifizierbar.

8.1.6 CRA Compliance Workflows (dieses Repository)

Zusätzlich zu den Automation-Templates stellt dieses Repository dedizierte CRA-Workflows bereit, die in jedem Quellcode-Repository wiederverwendet werden können. Siehe 8.2 Automatisierte Workflows für Details.

Composite Actions (CRA-spezifisch)

ActionCRA-AnforderungFunktion
cra-sbom-generateAnnex I Teil II (1)CycloneDX SBOM generieren (Trivy, Auto-Detect)
cra-sbom-signAnnex I Teil II (7)SBOM signieren (Cosign, keyless OIDC)
cra-vulnerability-scanAnnex I Teil II (1), Annex I Teil I (2)(a)Multi-Engine Vulnerability Scan (Trivy + Grype + OSV-Scanner)
cra-hub-reportArt. 13Compliance-Daten an Software Security Hub API senden
cra-compliance-reportAnnex VIIJSON + Markdown Compliance-Report mit Scoring
cra-eu-docArt. 28, Annex VMaschinenlesbare EU-Konformitätserklärung generieren (JSON)
cra-renderAnnex V, Annex VIIJSON-Artefakte zu PDF rendern (EU DoC, Compliance Report)

Composite Actions (Generisch, in automation-templates)

ActionCRA-AnforderungFunktion
vex-generateAnnex I, Teil II, Nr. 2OpenVEX-Dokument aus Scan + manueller Triage
sbom-attestAnnex I Teil II (7)GitHub-native SBOM-Attestation

Reusable Workflows

WorkflowTypCRA-AnforderungFunktion
cra-release.ymlRepo-lokalAnnex I Teil II (7), Annex I Teil II (1), Annex VIISBOM + Signatur + Attestation + VEX + Compliance Report
cra-scan.ymlRepo-lokalAnnex I Teil II (1), Annex I Teil I (2)(a)Geplanter CVE-Scan mit Issue-Erstellung
cra-report.ymlAPI-ReportingArt. 13, Annex VIIAlle CRA-Daten an CRA Compliance Hub
cra-onboard.ymlRepo-lokalArt. 13, Art. 13 Abs. 6Ein-Klick CRA-Onboarding für jedes Repository
cra-audit.ymlRepo-lokalAnnex I, Annex VIIWöchentliches Compliance-Audit mit Issue-Erstellung
cra-incident.ymlRepo-lokalArt. 14Incident-Response-Trigger mit ENISA-Fristenberechnung

CLI-Tool

ToolCRA-AnforderungFunktion
cra-checkAnnex VIILokale/Remote Compliance-Prüfung mit Scoring

8.1.7 Geplante Erweiterungen

Tool / WorkflowCRA-AnforderungStatus
CodeQL (SAST)Annex I, Teil II, Nr. 3🔧 Optional

8.1.8 Zusammenfassung: CRA-Abdeckung durch Tooling

                         CRA-Anforderung
                    ┌─────────────────────────┐
                    │  Art. 13 (Hersteller)    │
                    │  ├── Abs. 1 (Security)   │──→ Trivy, Gitleaks, Code Review
                    │  ├── Abs. 2 (Risiko)     │──→ Manuell + Template
                    │  ├── Abs. 4 (3rd Party)  │──→ FOSSA, License Compliance
                    │  ├── Abs. 6 (Schwachst.) │──→ CVE-Monitor, Dependabot
                    │  ├── Abs. 7 (Updates)    │──→ Dependabot, CI/CD
                    │  ├── Abs. 8 (Keine CVEs) │──→ CVE-Monitor, Trivy
                    │  ├── Abs. 9 (CVD)        │──→ GitHub Advisories
                    │  ├── Abs. 12 (Integrität)│──→ Cosign + Attestation
                    │  └── Abs. 16 (Support)   │──→ SECURITY.md
                    ├─────────────────────────┤
                    │  Art. 13 (Information)    │
                    │  ├── Abs. 6 (CVD-Policy)  │──→ SECURITY.md
                    │  └── Abs. 23 (SBOM)      │──→ Trivy/Syft
                    ├─────────────────────────┤
                    │  Art. 14 (Meldepflicht)   │
                    │  ├── 24h Frühwarnung      │──→ ENISA SRP + Teams
                    │  ├── 72h Meldung          │──→ ENISA SRP
                    │  └── Nutzer-Info          │──→ GitHub Advisory
                    └─────────────────────────┘

Dokumentation lizenziert unter CC BY-NC 4.0 · Code lizenziert unter MIT