Kapitel 3: Vulnerability Management
3.1 Übersicht
Das Schwachstellenmanagement ist eine der Kernpflichten des CRA. Hersteller müssen während des gesamten Support-Zeitraums Schwachstellen in ihren Produkten identifizieren, bewerten, beheben und melden.
RECHTSGRUNDLAGE
Art. 10 Abs. 6 CRA: Der Hersteller muss über wirksame und regelmäßige Verfahren verfügen, um Schwachstellen in dem Produkt zu ermitteln.
Annex I, Teil II, Nr. 2: Der Hersteller muss die Schwachstellen und Komponenten des Produkts ermitteln und dokumentieren und bekannte Schwachstellen unverzüglich beheben.
3.2 Prozessarchitektur
┌─────────────────────┐
│ SBOM (pro Release) │
└──────────┬──────────┘
│
┌──────────┬──────────┼──────────┬──────────┐
▼ ▼ ▼ ▼ ▼
┌──────────────┐ ┌────────┐ ┌────────┐ ┌────────┐ ┌────────┐
│CVE-Monitoring│ │Dependa-│ │ Trivy │ │ OSV- │ │ Grype │
│(tägl. SBOM) │ │ bot │ │ Scan │ │Scanner │ │(option)│
│ │ │(PR) │ │(CI/CD) │ │(CI/CD) │ │ │
└──────┬───────┘ └───┬────┘ └───┬────┘ └───┬────┘ └───┬────┘
│ │ │ │ │
└─────────────┴──────────┼──────────┴──────────┘
▼
┌──────────────────────┐
│ Triage & Bewertung │
│ (CVSS / Severity) │
└──────────┬───────────┘
│
┌────────────────┼────────────────┐
▼ ▼ ▼
┌─────────────────┐ ┌──────────────┐ ┌──────────────┐
│ CRITICAL/HIGH │ │ MEDIUM/LOW │ │ Keine CVEs │
│ → Sofort-Patch │ │ → Geplant │ │ → Monitoring│
│ → ggf. ENISA │ │ → Nächster │ │ fortsetzen│
│ Meldung │ │ Release │ │ │
└─────────────────┘ └──────────────┘ └──────────────┘3.3 Kapitelstruktur
| Sektion | Thema | Beschreibung |
|---|---|---|
| 3.1 | CVE-Monitoring | Täglicher Scan aller Produkt-SBOMs gegen CVE-Datenbanken |
| 3.2 | Dependency Monitoring | Kontinuierliche Überwachung über Dependabot + GitHub Security Alerts |
| 3.3 | Patch Management | SLA-basierter Prozess für die Behebung von Schwachstellen |
| 3.4 | Risikobewertung | Methodik zur Bewertung im Produktkontext |
| 3.5 | Schwachstellenbehandlung (Annex I Teil II) | 8 Anforderungen zur Schwachstellenbehandlung |
3.4 Verantwortlichkeiten
| Rolle | Aufgabe |
|---|---|
| Security Lead | Triage, Risikobewertung, Eskalation, ENISA-Meldung |
| DevOps Lead | CVE-Monitor-Betrieb, Pipeline-Pflege |
| Development Team | Patch-Entwicklung, Testing |
| Product Owner | Priorisierung, Release-Planung |