CRA Compliance – BAUER GROUP (中文)

8.2 自动化工作流

BAUER GROUP — Mon, 30 Mar 2026 08:24:51 GMT

8.2 自动化工作流

架构

BAUER GROUP 的 CRA 自动化分布在两个仓库中：

CRA 专用工作流和操作位于 SEC-CRACompliance（本仓库）
通用操作（VEX 生成、SBOM 认证）位于 automation-templates

消费者仓库（您的产品）只需一行 uses: 即可调用 CRA 发布工作流。

可复用工作流

`cra-release.yml` — 发布制品

主要工作流。为每次发布生成、签名和存档所有 CRA 制品。

使用方法（零配置）：

yaml

jobs:
  cra:
    uses: bauer-group/SEC-CRACompliance/.github/workflows/cra-release.yml@main
    permissions:
      contents: write
      id-token: write
      attestations: write
      security-events: write

流水线流程：

步骤	操作	制品	CRA 参考
1	SBOM 生成	`sbom.cdx.json`	Art. 13(23)
2	SBOM 签名 (Cosign)	`.sig` + `.cert`	Art. 10(12)
3	SBOM 认证	GitHub Attestation	Art. 10(12)
4	漏洞扫描	`vulnerability-report.json`	Art. 10(6)
5	VEX 生成	`vex.openvex.json`	Annex I II.2
6	合规报告	`.json` + `.md`	Annex VII

零配置

所有新功能（认证、VEX、合规报告）默认启用。现有消费者无需更改工作流即可自动获取。

`cra-scan.yml` — 定期漏洞扫描

用于持续 CVE 监控（Art. 10(8)）。通过 cron 计划每日运行。

`cra-report.yml` — Hub API 报告

将合规数据发送到软件安全中心 API 进行集中跟踪。

完整的消费者工作流

复制粘贴

将此工作流复制到您的产品仓库中，保存为 .github/workflows/cra.yml。涵盖发布合规、每周扫描和中心报告。

最小配置（零配置）

yaml

# .github/workflows/cra.yml
name: CRA Compliance

on:
  release:
    types: [published]
  schedule:
    - cron: '0 6 * * 1'
  workflow_dispatch:

permissions:
  contents: write
  id-token: write
  attestations: write
  security-events: write
  issues: write

jobs:
  cra-release:
    if: github.event_name == 'release'
    uses: bauer-group/SEC-CRACompliance/.github/workflows/cra-release.yml@main
    permissions:
      contents: write
      id-token: write
      attestations: write
      security-events: write

  cra-scan:
    if: github.event_name == 'schedule' || github.event_name == 'workflow_dispatch'
    uses: bauer-group/SEC-CRACompliance/.github/workflows/cra-scan.yml@main
    permissions:
      contents: read
      security-events: write
      issues: write

完整配置（所有参数）

yaml

jobs:
  cra-release:
    if: github.event_name == 'release'
    uses: bauer-group/SEC-CRACompliance/.github/workflows/cra-release.yml@main
    with:
      run-validation: true              # 在生成 CRA 制品前运行验证
      validation-command: 'npm run ci'
      sign-sbom: true                   # Cosign 无密钥签名
      fail-on-critical: true            # CRITICAL CVE 时阻止发布
      enable-grype: true                # 额外的 Grype 扫描
      attest-sbom: true                 # GitHub SBOM 认证
      generate-vex: true                # OpenVEX 文档
      generate-eu-doc: true             # EU 符合性声明 (Annex V)
      render-pdfs: true                 # JSON → PDF 渲染
      classification: 'important-class-1'
      support-period-years: 5
    permissions:
      contents: write
      id-token: write
      attestations: write
      security-events: write

  cra-scan:
    if: github.event_name == 'schedule'
    uses: bauer-group/SEC-CRACompliance/.github/workflows/cra-scan.yml@main
    with:
      severity-threshold: 'MEDIUM'
      create-issue: true
    permissions:
      contents: read
      security-events: write
      issues: write

参数参考

`cra-release.yml`

参数	类型	默认值	说明
`run-validation`	boolean	`false`	生成 CRA 制品前运行验证
`sign-sbom`	boolean	`true`	使用 Cosign 签名 SBOM
`fail-on-critical`	boolean	`false`	CRITICAL 漏洞时失败
`enable-grype`	boolean	`false`	启用 Grype 扫描
`enable-osv`	boolean	`true`	启用 OSV-Scanner
`attest-sbom`	boolean	`true`	创建 GitHub SBOM 认证
`generate-vex`	boolean	`true`	生成 OpenVEX 文档
`generate-eu-doc`	boolean	`true`	生成 EU 符合性声明
`render-pdfs`	boolean	`true`	JSON → PDF 渲染
`classification`	string	`'standard'`	`standard`, `important-class-1`, `important-class-2`, `critical`
`support-period-years`	number	`5`	支持期限（Art. 13(8)）

所需权限

工作流	权限	原因
`cra-release`	`contents: write`	上传发布资产
`cra-release`	`id-token: write`	Cosign 无密钥签名 (OIDC)
`cra-release`	`attestations: write`	GitHub SBOM 认证
`cra-release`	`security-events: write`	SARIF 上传
`cra-scan`	`issues: write`	创建 CVE Issue

发布制品

制品	格式	用途	CRA 参考
`sbom.cdx.json`	CycloneDX JSON	软件物料清单	Art. 13(23)
`sbom.cdx.json.sig`	Cosign 签名	SBOM 完整性	Art. 10(12)
`vulnerability-report.json`	Trivy JSON	已知漏洞	Art. 10(6)
`vex.openvex.json`	OpenVEX v0.2.0	漏洞可利用性	Annex I II.2
`cra-compliance-report.json`	Schema v1.0.0	机器可读合规状态	Annex VII
`eu-doc.json`	EU DoC Schema v1.0.0	机器可读 EU 符合性声明	Art. 28, Annex V
`EU-Declaration-*.pdf`	PDF	可打印 EU 符合性声明	Art. 28, Annex V
`CRA-Compliance-Report-*.pdf`	PDF	可打印合规报告	Annex VII

合规评分

类别	满分	标准
SBOM	20	已生成 (10) + 已签名 (5) + 已认证 (5)
签名	15	Cosign 验证 (10) + 认证存在 (5)
漏洞	20	0 关键 (15) + 0 高危 (5)
VEX	10	已生成 (5) + 手动覆盖存在 (5)
安全策略	15	SECURITY.md (10) + CVD 流程 (5)
支持期限	10	已定义 (10)
CRA 条款覆盖	10	满足条款百分比

CLI 工具

使用 cra-check CLI 进行本地验证或检查任何 GitHub 仓库。

8.1 工具映射

BAUER GROUP — Sun, 29 Mar 2026 00:03:19 GMT

8.1 工具映射

8.1.1 工具 -> CRA 合规矩阵 CRA 合规矩阵"">

本映射展示了每个工具覆盖了哪些 CRA 要求。

8.1.2 GitHub 生态系统

Dependabot

CRA 要求	覆盖范围
Art. 10(6) -- 识别漏洞	自动对依赖项发出 CVE 警报
Art. 10(7) -- 安全更新	当更新可用时自动创建 PR
Annex I, 第II部分, 编号 2 -- 及时修复	补丁更新的自动合并
Annex I, 第II部分, 编号 5 -- 监控第三方组件	持续依赖项监控

GitHub Security Advisories

CRA 要求	覆盖范围
Art. 10(9) -- 协调披露	私密公告, CVE 分配
Art. 14(8) -- 用户通知	包含建议措施的公开公告
Annex I, 第II部分, 编号 4 -- 已修复 CVE 的披露	发布安全公告

GitHub Actions（自动化模板）

工作流	CRA 要求	功能
`automatic-release.yml`	Art. 10(7)	自动化发布流水线
`modules-security-scan.yml`	Art. 10(6)	多引擎安全扫描
`modules-license-compliance.yml`	Art. 10(4), Art. 13(23)	许可证检查 + SBOM
`docker-build.yml`	Art. 10(12)	镜像构建 + 签名
`docker-maintenance-dependabot.yml`	Annex I, 第II部分, 编号 2	自动合并依赖更新
`modules-docker-base-image-monitor.yml`	Annex I, 第II部分, 编号 5	基础镜像更新
`security-management.yml`	Art. 13(8)	SECURITY.md 自动生成
`teams-notifications.yml`	Art. 14（辅助）	事件通信

8.1.3 安全扫描

Trivy (Aqua Security)

CRA 要求	覆盖范围
Art. 10(6)	容器镜像漏洞扫描
Art. 10(8)	检测已知可利用漏洞
Art. 13(23)	SBOM 生成 (CycloneDX, SPDX)
Annex I, 第II部分, 编号 1	SBOM 组件检测
Annex I, 第II部分, 编号 3	定期安全测试 (CI/CD)

Grype (Anchore)

CRA 要求	覆盖范围
Art. 10(6)	漏洞扫描（与 Trivy 互补）
Annex I, 第II部分, 编号 1	针对 SBOM 的 CVE 匹配

OSV-Scanner (Google)

CRA 要求	覆盖范围
Art. 10(6)	基于 OSV 数据库的漏洞扫描
Art. 10(8)	检测已知漏洞（聚合 NVD, GitHub, PyPI, npm, Go 等）
Annex I, 第II部分, 编号 2	针对 lockfiles 和 SBOM 的 CVE 匹配

Snyk

CRA 要求	覆盖范围
Art. 10(6)	应用安全扫描
Annex I, 第II部分, 编号 3	代码级漏洞检测

Gitleaks + GitGuardian

CRA 要求	覆盖范围
Art. 10(1)	防止敏感信息泄露
Annex I, 第I部分, 编号 5	防止未授权访问（机密信息）

8.1.4 SBOM 与合规

Syft (Anchore)

CRA 要求	覆盖范围
Art. 13(23)	SBOM 生成 (CycloneDX JSON)
Annex I, 第II部分, 编号 1	组件检测与文档记录
Annex VII 编号 1	产品描述（依赖项）

FOSSA / 许可证合规 (License Compliance)

CRA 要求	覆盖范围
Art. 10(4)	对第三方组件的尽职调查（许可证）
Annex I, 第II部分, 编号 1	作为 SBOM 一部分的许可证清单

8.1.5 签名与完整性

Cosign (Sigstore)

CRA 要求	覆盖范围
Art. 10(12)	更新的完整性保护
Annex I, 第I部分, 编号 3.2	完整性保护（数据/制品）
Annex I, 第II部分, 编号 6	安全提供更新

8.1.6 CRA 合规工作流（本仓库）

除了自动化模板之外，本仓库还提供了专用的 CRA 工作流，可在每个源代码仓库中复用。详见 8.2 自动化工作流。

组合操作（CRA 专用）

操作	CRA 要求	功能
`cra-sbom-generate`	Art. 13(23)	生成 CycloneDX SBOM (Trivy, 自动检测)
`cra-sbom-sign`	Art. 10(12)	签名 SBOM (Cosign, 无密钥 OIDC)
`cra-vulnerability-scan`	Art. 10(6), (8)	多引擎漏洞扫描 (Trivy + Grype + OSV-Scanner)
`cra-hub-report`	Art. 10, Art. 13	向软件安全中心 API 发送合规数据
`cra-compliance-report`	Annex VII	JSON + Markdown 合规报告（含评分）
`cra-eu-doc`	Art. 28, Annex V	生成机器可读的 EU 符合性声明 (JSON)
`cra-render`	Annex V, Annex VII	将 JSON 制品渲染为 PDF（EU DoC、合规报告）

组合操作（通用，在 automation-templates 中）

操作	CRA 要求	功能
`vex-generate`	Annex I, 第II部分, 编号 2	从扫描结果 + 手动分类生成 OpenVEX 文档
`sbom-attest`	Art. 10(12)	创建 GitHub 原生 SBOM 认证

可复用工作流

工作流	类型	CRA 要求	功能
`cra-release.yml`	仓库本地	Art. 10(12), Art. 13(23), Annex VII	SBOM + 签名 + 认证 + VEX + 合规报告
`cra-scan.yml`	仓库本地	Art. 10(6), (8)	计划 CVE 扫描并创建 issue
`cra-report.yml`	API 报告	Art. 10, Art. 13, Annex VII	所有 CRA 数据发送至 CRA 合规中心
`cra-onboard.yml`	仓库本地	Art. 10, Art. 13(6)	一键 CRA 注册（适用于任何仓库）
`cra-audit.yml`	仓库本地	Annex I, Annex VII	每周合规审计（含 Issue 创建）
`cra-incident.yml`	仓库本地	Art. 14	事件响应触发器（含 ENISA 截止日期计算）

CLI 工具

工具	CRA 要求	功能
`cra-check`	Annex VII	本地/远程合规验证（含评分）

8.1.7 计划扩展

工具/工作流	CRA 要求	状态
CodeQL (SAST)	Annex I, 第II部分, 编号 3	🔧 可选

8.1.8 总结：通过工具实现的 CRA 覆盖

                         CRA 要求
                    ┌─────────────────────────┐
                    │  Art. 10（制造商）        │
                    │  ├── (1) 安全性          │──→ Trivy, Gitleaks, 代码审查
                    │  ├── (2) 风险            │──→ 手动 + 模板
                    │  ├── (4) 第三方          │──→ FOSSA, 许可证合规
                    │  ├── (6) 漏洞            │──→ CVE-Monitor, Dependabot
                    │  ├── (7) 更新            │──→ Dependabot, CI/CD
                    │  ├── (8) 无 CVE          │──→ CVE-Monitor, Trivy
                    │  ├── (9) CVD             │──→ GitHub Advisories
                    │  ├── (12) 完整性         │──→ Cosign + Attestation
                    │  └── (16) 支持           │──→ SECURITY.md
                    ├─────────────────────────┤
                    │  Art. 13（信息）          │
                    │  ├── (6) CVD 政策        │──→ SECURITY.md
                    │  └── (23) SBOM           │──→ Trivy/Syft
                    ├─────────────────────────┤
                    │  Art. 14（报告）          │
                    │  ├── 24小时预警           │──→ ENISA SRP + Teams
                    │  ├── 72小时通知           │──→ ENISA SRP
                    │  └── 用户信息            │──→ GitHub Advisory
                    └─────────────────────────┘

8.3 CRA 合规检查器 (cra-check)

BAUER GROUP — Sat, 28 Mar 2026 20:15:04 GMT

8.3 CRA 合规检查器 (cra-check)

概述

cra-check 是一个零依赖的 Node.js CLI 工具，用于验证产品是否满足 CRA 合规要求。检查合规制品的存在和质量 — SBOM、VEX、漏洞扫描、安全策略和支持期限。

使用方法

bash

# 检查当前目录
npx @bauer-group/cra-check

# 检查 GitHub 仓库（最新发布）
npx @bauer-group/cra-check bauer-group/my-product

# JSON 输出
npx @bauer-group/cra-check --format json

# CI 模式
npx @bauer-group/cra-check --ci --min-score 70

模式

本地模式

扫描文件系统中的 CRA 制品：

文件	检查
`sbom.cdx.json`	SBOM 存在、有效、组件数量
`sbom.cdx.json.sig` + `.cert`	Cosign 签名存在
`vex.openvex.json`	VEX 文档、声明数量、分类状态
`vulnerability-report.json`	严重性计数
`SECURITY.md`	安全策略、CVD 流程

远程模式

通过 GitHub API 获取数据 — 发布资产、签名、SECURITY.md。

输出

  CRA Compliance: my-product v2.3.1
  ══════════════════════════════════════════

  SBOM                ✅ PASS  CycloneDX, 142 组件
  SBOM 签名           ✅ PASS  Cosign 签名 + 证书存在
  VEX 文档            ✅ PASS  15 声明 (3 已分类)
  漏洞                ⚠️ WARN  0 关键, 2 高危
  安全策略            ✅ PASS  SECURITY.md 存在
  支持期限            ✅ PASS  5 年

  Score: 85/100 ████████████████░░░░ PASS

CI/CD 集成

yaml

- name: 🔍 CRA 合规检查
  run: npx @bauer-group/cra-check --ci --min-score 70
  env:
    GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

退出码

代码	含义
`0`	分数 >= 最低分数 (PASS)
`1`	分数 < 最低分数 (FAIL)
`2`	致命错误

要求

Node.js >= 20
无 npm 依赖

第8章：CRA 合规矩阵

BAUER GROUP — Thu, 26 Mar 2026 10:46:49 GMT

第8章：CRA 合规矩阵

完整映射：CRA 条款 -> 文档 -> 工具文档 -> 工具"">

本矩阵将每项相关的 CRA 要求映射到对应的文档和已实施的工具。它是审计和合规性评估 (Conformity Assessment) 的核心参考。

状态概览

类别	✅ 已实施	⚠️ 产品相关	总计
Art. 10 -- 制造商义务	8	4	12
Art. 13 -- 信息义务	3	1	4
Art. 14 -- 报告义务	1	3	4
Art. 16 -- 授权代表	1	2	3
Art. 28/29 -- 合规性与 CE	0	2	2
Annex I 第I部分 -- 安全性	6	1	7
Annex I 第II部分 -- 漏洞	8	0	8
Annex II -- 用户信息	4	4	8
Annex VII -- 技术文档	3	4	7
总计	34	21	55

详细映射：8.1 工具映射（工具 -> CRA 要求）

按经济运营者角色划分的义务

CRA 领域	制造商	进口商	分销商
设计安全 (Art. 10)	✅ 全部	—	—
合规性评估 (Art. 10(5))	✅ 全部	—	—
SBOM 生成 (Art. 13(23))	✅ 全部	—	—
漏洞处理 (Annex I 第II部分)	✅ 全部	—	—
安全更新 (Art. 10(7))	✅ 全部	—	—
向 ENISA 报告事件 (Art. 14)	✅ 全部	—	—
CE 标志与 EU DoC (Art. 28–29)	✅ 全部	✅ 验证	✅ 验证
用户信息 (Annex II)	✅ 全部	✅ 验证	✅ 验证
技术文档 (Annex VII)	✅ 全部	✅ 保存可用	—
上市前验证合规性	—	✅ 全部 (Art. 15)	✅ 全部 (Art. 17)
不合规时通知制造商	—	✅ 全部	✅ 全部
配合市场监督	✅ 全部	✅ 全部	✅ 全部
产品/包装上标注名称和地址	✅ 全部	✅ 全部	✅ 全部

角色说明

制造商 — 承担主要合规责任。设计、开发和生产产品。 进口商 — 必须在将产品投放欧盟市场前验证制造商的合规性。 分销商 — 必须验证 CE 标志和声明的存在。不对内容负责。

按产品类别估算工作量

要求领域	标准	I 类	II 类	关键	自动化程度
安全风险评估	20–40h	20–40h	30–60h	40–80h	手动
SBOM 与签名	8–16h	8–16h	8–16h	8–16h	自动化
漏洞处理	20–40h	20–40h	20–40h	20–40h	自动化
事件报告机制	16–32h	16–32h	16–32h	16–32h	半自动
技术文档	40–80h	40–80h	60–120h	80–160h	手动
CE 标志与 EU DoC	8–16h	8–16h	8–16h	8–16h	手动
合规性评估	自评 (0h)	自评或 40–80h*	40–80h	80–160h	手动
一次性总计	112–224h	112–304h	182–364h	252–504h
年度总计	60–120h	60–160h	90–200h	130–260h

* I 类：完全采用协调标准时可自评；否则需第三方评估。

BAUER GROUP 方案

自动化工具链（Trivy、Grype、CycloneDX、Cosign、GitHub Actions）大幅降低了标准和 I 类产品的实际工作量。详见适用性检查获取决策指导。

Art. 10 -- 制造商义务 (Obligations of Manufacturers)

CRA 参考	要求	文档	工具	状态
Art. 10(1)	在设计、开发、生产中达到适当的网络安全水平	安全架构	安全扫描 (Trivy, Grype, Snyk), 代码审查	✅
Art. 10(2)	进行网络安全风险评估	风险评估	--（手动流程 + 模板）	⚠️
Art. 10(3)	在文档中包含风险评估	技术文档	Git 版本控制	⚠️
Art. 10(4)	对第三方组件进行尽职调查	供应链	许可证合规、依赖项扫描	✅
Art. 10(5)	进行合规性评估	合规性评估	--（手动流程 + 模板）	⚠️
Art. 10(6)	有效识别漏洞	漏洞管理	CVE-Monitor, Dependabot, Trivy	✅
Art. 10(7)	免费提供安全更新	补丁管理	Dependabot, Auto-Merge, 发布流水线	✅
Art. 10(8)	无已知可利用漏洞	CVE 监控	CVE-Monitor（每日）, Trivy	✅
Art. 10(9)	协调漏洞披露	披露政策	SECURITY.md, GitHub Advisories	✅
Art. 10(10)	漏洞报告联络点	披露政策	每个仓库中的 SECURITY.md	✅
Art. 10(12)	安全更新的完整性	SBOM 与签名	Cosign, SHA256	✅
Art. 10(13)	保留文档 10 年	技术文档	Git 仓库（10 年保留期）	✅
Art. 10(16)	定义并发布支持期限	支持与生命周期	SECURITY.md, 产品页面	⚠️

Art. 13 -- 信息义务 (Information Obligations)

CRA 参考	要求	文档	工具	状态
Art. 13(6)	发布 CVD 政策	披露政策	SECURITY.md	✅
Art. 13(8)	漏洞报告的联系方式	SECURITY.md	仓库 SECURITY.md	✅
Art. 13(16)	告知支持期限	支持与生命周期	--	⚠️
Art. 13(23)	生成 SBOM（机器可读）	SBOM 与签名	Trivy/Syft -> CycloneDX JSON	✅

Art. 14 -- 报告义务 (Reporting Obligations)

CRA 参考	要求	文档	工具	状态
Art. 14(1)	主动利用漏洞的预警（24小时）	ENISA 报告流程	ENISA SRP（自 2026年9月起）	⚠️
Art. 14(2)	漏洞通知（72小时）	ENISA 报告流程	ENISA SRP	⚠️
Art. 14(3)	最终报告（14天）	ENISA 报告流程	ENISA SRP	⚠️
Art. 14(8)	用户通知	通信计划	GitHub Advisories, 电子邮件	✅

Art. 16 -- 授权代表 (Authorised Representative)

CRA 参考	要求	文档	工具	状态
Art. 16(1)	通过书面授权指定授权代表（非欧盟制造商）	角色与职责	--（合同流程）	⚠️
Art. 16(2)	保留合规性文档 10 年	角色与职责	Git 仓库（10 年保留期）	✅
Art. 16(2)	与市场监督机构合作	角色与职责	--	⚠️

Art. 28 -- 合规声明与 CE (Declaration of Conformity & CE)

CRA 参考	要求	文档	工具	状态
Art. 28, Annex V	签发欧盟合规声明	欧盟合规声明	模板	⚠️
Art. 29	加贴 CE 标志	欧盟合规声明	--	⚠️

Annex I, 第I部分 -- 安全要求 (Security Requirements)

编号	要求	文档	工具	状态
1	适当的网络安全水平	安全架构	多引擎安全扫描	✅
2	无已知可利用漏洞	CVE 监控	CVE-Monitor, Trivy, Dependabot	✅
3.1	保密性保护（数据）	安全架构	TLS, AES-256	✅
3.2	完整性保护（数据）	SBOM 与签名	Cosign, SHA256	✅
3.3	可用性保护	安全架构	产品相关	⚠️
4	安全默认配置	安全架构	默认安全 (Security-by-Default)	✅
5	防止未授权访问	安全架构	认证/授权 (Auth/Authz)	✅
6	最小攻击面	安全架构	Alpine/Distroless, 最小化服务	✅

Annex I, 第II部分 -- 漏洞处理 (Vulnerability Handling)

编号	要求	文档	工具	状态
1	识别和记录漏洞 (SBOM)	SBOM 与签名	Trivy/Syft, CycloneDX	✅
2	及时修复漏洞	补丁管理	Dependabot, CI/CD	✅
3	定期测试和审查	安全架构	CI/CD 安全扫描	✅
4	披露已修复的漏洞	披露政策	GitHub Security Advisories	✅
5	协调漏洞披露	披露政策	SECURITY.md, CVD 流程	✅
6	提供安全更新	更新机制	发布流水线, OTA	✅
7	及时提供	补丁管理	基于 SLA（P0-P4）	✅
8	指定联络点	SECURITY.md	SECURITY.md, CVD 政策	✅

Annex II -- 用户信息 (User Information)

编号	要求	文档	状态
1	制造商名称及联系方式	产品页面, SECURITY.md	✅
2	产品标识	发布说明, 仓库	✅
3	预期用途	产品描述	⚠️
4	安全相关属性	用户信息模板	⚠️
5	支持期限	支持与生命周期	⚠️
6	安装说明	README, 产品文档	⚠️
7	漏洞报告联系方式	SECURITY.md	✅
8	重大变更的变更日志	变更日志, 发布说明	✅

Annex VII -- 技术文档 (Technical Documentation)

编号	要求	文档	状态
1	一般产品描述	产品描述	⚠️
2	安全风险评估	风险评估	⚠️
3	架构和设计	安全架构	✅
4	漏洞处理程序	漏洞管理	✅
5	适用标准	合规矩阵	✅
6	合规性评估	合规性评估	⚠️
7	欧盟合规声明	欧盟合规声明	⚠️

图例

符号	含义
✅	已实施并记录
⚠️	文档可用，需要产品相关的具体实施
❌	尚未实施

7.1 产品分类 (Product Classification)

BAUER GROUP — Thu, 26 Mar 2026 10:46:49 GMT

7.1 产品分类 (Product Classification)

7.1.1 概述

根据《网络弹性法案》(Cyber Resilience Act, CRA)，每个含数字元素的产品都必须被归入一个 CRA 风险类别。分类结果决定了所需的合规评估程序。CRA 区分四个类别：标准 (Standard)、Class I（重要）、Class II（重要）和关键 (Critical)。

7.1.2 分类决策树

以下决策树概述了产品分类的系统化方法：

产品是否列于 Annex IV 中？
├── 是 → 关键 (CRITICAL)（需 EUCC）
└── 否
    └── 产品是否列于 Annex III 中？
        ├── 是 → 属于哪个类别？
        │   ├── Class II → CLASS II（Module B+C 或 H）
        │   └── Class I → CLASS I（Module A* 或 B+C）
        └── 否 → 标准 (STANDARD)（Module A）

* Module A 仅在完全适用协调标准时可用

7.1.3 产品类别

类别：标准（默认）

合规评估： 内部控制 (Internal Control)（Module A）— 自我评估

大多数产品属于此类别。制造商自行执行合规评估。

典型产品：

标准 Web 应用
内部工具和实用程序
非关键容器镜像
简单 IoT 传感器

Class I（Annex III）

合规评估： 内部控制（Module A）（适用协调标准时）或 EU 型式检验（Module B+C）

Annex III 中的示例：

身份管理系统和特权访问管理软件
独立浏览器
密码管理器
搜索、删除和隔离恶意软件的软件
VPN 产品
网络管理系统
SIEM 系统
引导管理器
防火墙、IDS/IPS（非工业用途）
路由器、调制解调器（用于互联网接入）
具有安全相关功能的微控制器
操作系统（非服务器/桌面 Class II）

Class II（Annex III）

合规评估： EU 型式检验（Module B+C）或全面质量保证（Module H）

Annex III 中的示例：

虚拟机管理程序和容器运行时环境
工业用途的防火墙和 IDS/IPS
防篡改微控制器/微处理器
服务器、桌面、移动设备的操作系统
公钥基础设施和证书颁发机构
工业自动化与控制系统 (IACS)
工业 IoT 设备（不受其他行业法规约束的）

类别：关键（Annex IV）

合规评估： 欧洲网络安全证书（EUCC），保证级别为"实质性 (substantial)"或更高

Annex IV 中的示例：

硬件安全模块 (HSM)
智能卡及类似设备（含安全元件）
智能卡读卡器
机器人和机器控制器的传感器和执行器
智能电表网关

7.1.4 各类别的合规评估

类别	Module A（自评）	Module B+C（型式）	Module H（质量）	EUCC
标准	✅	-	-	-
Class I	✅*	✅	-	-
Class II	-	✅	✅	-
关键	-	-	-	✅

* 仅在适用协调标准或符合 EU 网络安全认证时

AI Act 协同

在 AI Act Annex III 中列为高风险 AI 系统的产品也可能出现在 CRA Annex III 中（如 IACS、安全组件）。当产品同时受两部法规约束时，适用更严格的合规评估。请协调 CRA 和 AI Act 团队之间的分类决策。

适用性检查

使用交互式适用性检查逐步完成完整分类流程，包括各产品类别的工作量估算。

7.1.5 BAUER GROUP 的相关产品类型

对照 Annex III（重要产品）审查

Annex III 类别	是否适用于 BAUER GROUP？	理由
身份管理系统	待审查	如提供 IAM 解决方案
密码管理器	待审查	如提供凭据管理
VPN 产品	待审查	如提供 VPN 解决方案
网络管理系统	待审查	如提供网络工具
防火墙、IDS/IPS	待审查	如提供安全产品
路由器、调制解调器	待审查	如提供带固件的网络硬件
微控制器（安全相关）	可能适用	ESP32/STM32 具有安全相关功能的固件
操作系统	待审查	如提供操作系统级产品
容器运行时	否（通常）	我们使用容器但不提供运行时
虚拟机管理程序	否（通常）	我们使用虚拟机管理程序但不提供
工业 IoT 设备	可能适用	如提供工业用途的 IoT 设备

对照 Annex IV（关键产品）审查

Annex IV 类别	是否适用于 BAUER GROUP？	理由
硬件安全模块 (HSM)	否（通常）	我们使用 HSM 但不生产
智能卡/安全元件	否（通常）
智能电表网关	待审查	如涉及能源产品

BAUER GROUP 产品的典型分类

产品类型	预期类别	评估程序
标准 Web 应用	标准	Module A
REST API	标准	Module A
容器镜像（微服务）	标准	Module A
NPM/NuGet 库	标准	Module A
ESP32 IoT 传感器（非安全关键）	标准	Module A
ESP32/STM32 工业控制器	Class I	Module A* 或 B+C
带认证功能的固件	Class I	Module A* 或 B+C
带固件的网络路由器	Class I	Module A* 或 B+C

7.1.6 分类流程

对于每个产品，必须执行以下流程：

1. 功能审查

验证产品是否满足 Annex III 或 IV 中列出的功能之一。系统性地与所有类别进行比对。

2. 预期用途

考虑预期用途：

产品是否用于关键基础设施？
是否处理敏感/个人数据？
是否具有网络功能？
被入侵是否可能造成物理损害？

3. 记录分类结果

使用风险评估模板记录分类决定。

建议

如有疑问，请选择更高的类别。保守的分类在监管上比过低的分类更安全。

7.1.7 分类的文档化

每个产品的分类记录在产品描述中：

对照 Annex III 和 IV 审查 — 系统性地与所有类别比对
理由 — 为何适用此分类（引用附录）
合规评估程序 — 适用哪个模块
日期 — 分类执行日期
责任人 — 分类执行人

4.3 ENISA 报告流程

BAUER GROUP — Thu, 26 Mar 2026 10:46:49 GMT

4.3 ENISA 报告流程

4.3.1 法律依据

根据 Art. 14 CRA，制造商须向 ENISA 或相关国家 CSIRT 主管机构报告特定安全事件。报告义务自 2026 年 9 月 11 日 起适用。

法律依据

Art. 14(1) CRA: "The manufacturer shall notify any actively exploited vulnerability contained in the product with digital elements simultaneously to the designated CSIRT and to ENISA. The manufacturer shall submit an early warning within 24 hours of becoming aware of it."

Art. 14(2) CRA: "The manufacturer shall submit within 72 hours of becoming aware a vulnerability notification containing a general description of the vulnerability, an initial assessment of the severity and impact, as well as information on corrective measures taken."

Art. 14(3) CRA: "The manufacturer shall submit within 14 days of becoming aware a final report containing a detailed description of the vulnerability, information on corrective or mitigating measures taken, and, where applicable, indicators of compromise."

关键期限

通知类型	期限	期限起算
预警 (Early Warning)	24 小时	知悉被积极利用的漏洞/严重事件
漏洞通知 (Vulnerability Notification)	72 小时	知悉
最终报告 (Final Report)	14 天	知悉

NIS2 协同

CRA Art. 14 的报告义务与 NIS2 Art. 23（事件通知）保持一致。两者使用相同的 ENISA 单一报告平台 (SRP)。已按 NIS2 报告的组织可以复用相同平台和基本相同的流程 — 仅报告范围不同：NIS2 覆盖运营事件，CRA 覆盖产品漏洞。

AI Act 协同

包含 AI 组件且被 AI Act 归类为高风险的产品有额外的报告义务（Art. 62 AI Act）。请协调 AI 相关事件报告与 CRA 报告，避免重复提交。

4.3.2 须报告的事件

被积极利用的漏洞 (Actively Exploited Vulnerability)（Art. 14(1)）

BAUER GROUP 产品中的漏洞正在被积极利用。根据 Art. 3(42) CRA，当有可靠证据表明漏洞已被恶意行为者在未经系统所有者许可的情况下利用时，即构成积极利用。

积极利用的指标：

被纳入 KEV 目录（CISA 已知被利用漏洞目录）
威胁情报源 (Threat Intelligence Feeds) 报告利用活动
客户或安全研究人员的报告 提供利用证据
在日志、监控或事件响应流程中 自行检测 到
公开报告（厂商公告、博客、论坛）中关于攻击的信息

严重安全事件 (Severe Security Incident)（Art. 14(3)）

严重影响产品或其用户安全的事件（Art. 3(43) CRA）。

归类为严重事件的标准：

标准	描述	示例
完整性受损	产品或其供应链的完整性被破坏	源代码被篡改、构建流水线被入侵
未经授权的数据访问	未经授权访问用户数据	数据泄露、API 滥用、配置错误
可用性丧失	安全相关功能受损	认证绕过、更新机制中断
更新被篡改	分发了被篡改的更新	供应链攻击、签名密钥泄露

4.3.3 角色与职责

角色	报告流程中的职责
安全负责人 (Security Lead)	评估报告义务、提交 ENISA 通知、整体协调
DevOps 负责人 (DevOps Lead)	技术分析、补丁协调、基础设施措施
产品负责人 (Product Owner)	用户通知、影响评估、发布决策
管理层 (Management)	SEV-1/SEV-2 的审批、资源分配、升级
开发人员 (Developer)	根因分析、补丁开发、安全审查

4.3.4 报告平台

ENISA 统一报告平台 (Single Reporting Platform, SRP)

自 2026 年 9 月 11 日起，ENISA 统一报告平台作为中央报告入口可用：

属性	详情
URL	由 ENISA 提供（预计：`https://reporting.enisa.europa.eu`）
访问	需根据 Art. 14(4) CRA 注册为制造商
格式	结构化在线表单 + API 接入（计划中）
语言	英语（欧盟范围），可能支持国家语言
确认	平台自动发送接收确认

欧盟成员国国家 CSIRT

如 ENISA SRP 暂时不可用，通知应提交至相关国家 CSIRT。以下是全部 27 个欧盟成员国的完整目录：

国家	CSIRT	网站	电子邮件
奥地利	CERT.at	www.cert.at	`reports@cert.at`
比利时	CERT.be (CCB)	ccb.belgium.be/cert	`cert@cert.be`
保加利亚	CERT Bulgaria	www.govcert.bg	`cert@govcert.bg`
克罗地亚	National CERT (CERT.hr)	www.cert.hr	`ncert@cert.hr`
塞浦路斯	CSIRT-CY (DMRID)	csirt.cy	`info@csirt.cy`
捷克	NUKIB / GovCERT.CZ	www.nukib.cz	`cert@nukib.cz`
丹麦	CFCS	www.cfcs.dk	`cfcs@cfcs.dk`
爱沙尼亚	CERT-EE (RIA)	www.cert.ee	`cert@cert.ee`
芬兰	NCSC-FI (Traficom)	www.kyberturvallisuuskeskus.fi	`cert@traficom.fi`
法国	CERT-FR (ANSSI)	www.cert.ssi.gouv.fr	`cert-fr@ssi.gouv.fr`
德国	CERT-Bund (BSI)	www.bsi.bund.de	`certbund@bsi.bund.de`
希腊	National CERT-GR	www.cert.gr	`cert@cert.gr`
匈牙利	NCSC Hungary (NBSZ NKI)	nki.gov.hu	`cert@nki.gov.hu`
爱尔兰	NCSC-IE	www.ncsc.gov.ie	`certreport@ncsc.gov.ie`
意大利	CSIRT Italia (ACN)	www.csirt.gov.it	`csirt@pec.acn.gov.it`
拉脱维亚	CERT.LV	cert.lv	`cert@cert.lv`
立陶宛	NKSC	www.nksc.lt	`cert@nksc.lt`
卢森堡	CIRCL / GovCERT.lu	www.circl.lu	`info@circl.lu`
马耳他	CSIRTMalta	www.mca.org.mt	`csirtmalta@gov.mt`
荷兰	NCSC-NL	www.ncsc.nl	`cert@ncsc.nl`
波兰	CERT Polska (NASK)	cert.pl	`cert@cert.pl`
葡萄牙	CERT.PT (CNCS)	www.cncs.gov.pt	`cert@cert.pt`
罗马尼亚	CERT-RO	www.cert.ro	`cert@cert.ro`
斯洛伐克	SK-CERT (NASES)	www.sk-cert.sk	`incident@sk-cert.sk`
斯洛文尼亚	SI-CERT	www.cert.si	`cert@cert.si`
西班牙	CCN-CERT / INCIBE-CERT	www.incibe.es	`incidencias@incibe-cert.es`
瑞典	CERT-SE (MSB)	www.cert.se	`cert@cert.se`

来源：ENISA CSIRTs Network / ENISA CSIRT Inventory。截至：2026-02。首次通知前请核实最新联系方式。

重复通知

当使用国家 CSIRT 作为备选渠道时，一旦 ENISA SRP 重新可用，须立即重新提交通知。

4.3.5 报告流程

第 1 阶段：预警（≤ 24 小时）

负责人： 安全负责人

检测到被积极利用的漏洞/严重事件
    │
    ├── 1. 立即通知
    │   ├── 通知安全负责人（立即，全天候）
    │   └── 创建事件工单（GitHub Issue，标签：incident + enisa）
    │
    ├── 2. 初步评估（≤ 2 小时）
    │   ├── 确认漏洞/事件
    │   ├── 识别受影响的产品和版本
    │   ├── 验证是否存在积极利用（KEV、威胁情报）
    │   ├── 确定严重程度 (CVSS)
    │   └── 确认 ENISA 报告义务
    │
    ├── 3. 提交 ENISA 预警（≤ 24 小时）
    │   ├── 模板：/templates/enisa-early-warning
    │   ├── 平台：ENISA SRP（首选）或 CSIRT（备选）
    │   └── 根据 Art. 14(1) 的最低内容要求：
    │       ├── 制造商身份信息
    │       ├── 受影响产品/受影响版本
    │       ├── 漏洞/事件的性质
    │       ├── 严重程度（CVSS 评分 + 向量）
    │       ├── 确认存在积极利用
    │       ├── 影响的初步评估
    │       └── 计划的紧急措施
    │
    └── 4. 并行措施
        ├── 启动沟通计划（→ 5.4）
        ├── 通知管理层（针对 SEV-1/SEV-2）
        └── 启动紧急措施（临时解决方案、隔离）

证据： 通知确认截图 + 事件工单中的时间戳

第 2 阶段：漏洞通知（≤ 72 小时）

负责人： 安全负责人 + DevOps 负责人

详细评估进行中/已完成
    │
    ├── 1. 深入技术分析
    │   ├── 完成受影响产品的版本列表
    │   ├── 分配 CWE 分类
    │   ├── 计算完整的 CVSS v3.1 向量
    │   ├── 记录攻击向量和前提条件
    │   └── 描述利用场景
    │
    ├── 2. 记录措施
    │   ├── 已采取的缓解措施
    │   ├── 补丁开发状态
    │   ├── 可用的临时解决方案
    │   └── 建议的用户措施
    │
    └── 3. 提交 ENISA 通知（≤ 72 小时）
        ├── 模板：/templates/enisa-notification
        ├── 平台：ENISA SRP
        └── 根据 Art. 14(2) 的最低内容要求：
            ├── 预警参考编号
            ├── 详细的漏洞描述
            ├── CVE-ID（如已分配）
            ├── 所有受影响的产品版本
            ├── CWE 分类 + CVSS 向量
            ├── 技术细节（攻击向量、影响）
            ├── 已采取缓解措施的状态
            ├── 可用的补丁/临时解决方案
            ├── 建议的用户措施
            └── 受影响用户/设备的估计数量

证据： 通知确认 + 事件工单中的完整副本

第 3 阶段：最终报告（≤ 14 天）

负责人： 安全负责人

修复已完成或进展良好
    │
    ├── 1. 准备最终文档
    │   ├── 完成根因分析
    │   ├── 创建完整的事件时间线
    │   ├── 列出所有已采取的措施
    │   ├── 识别已提供的补丁/更新
    │   ├── 评估残余风险
    │   └── 总结经验教训
    │
    └── 2. 提交 ENISA 最终报告（≤ 14 天）
        ├── 模板：/templates/enisa-final-report
        ├── 平台：ENISA SRP
        └── 根据 Art. 14(3) 的最低内容要求：
            ├── 预警和通知的参考编号
            ├── 详细的漏洞描述
            ├── 根因分析
            ├── 完整的事件时间线
            ├── 所有已采取的纠正措施
            ├── 已提供的补丁/更新（含版本号）
            ├── 残余风险及其缓解
            ├── 妥协指标 (IoC)（如有）
            ├── 经验教训
            └── 预防未来事件的措施

证据： 通知确认 + 事件工单中的完整副本 + 归档

4.3.6 用户通知（Art. 14(8)）

在 ENISA 通知的同时，须立即通知受影响用户有关漏洞及可用的纠正措施。

方面	详情
触发条件	任何被积极利用的漏洞或严重事件
期限	立即（Art. 14(8)）
主要渠道	GitHub Security Advisory
次要渠道	向已知客户发送电子邮件（针对 SEV-1/SEV-2）
内容	漏洞描述、影响、建议措施、可用补丁
模板	漏洞报告
负责人	安全负责人 + 产品负责人

与 ENISA 的协调

在补丁可用之前，用户通知不得包含可能促进漏洞利用的细节。可与 ENISA 协调延迟披露（Art. 14(7)）。

4.3.7 文档记录与存档

每份 ENISA 通知均须完整记录。该文档作为面向市场监管机构 (Market Surveillance Authorities) 的 合规证据（Art. 52 CRA）。

每份通知的强制性文档

文档组成部分	存储位置	保留期限
每份 ENISA 通知的完整副本	事件工单（GitHub Issue）	10 年
所有通知和操作的时间戳	事件工单 + Git 日志	10 年
ENISA / CSIRT 的接收确认	事件工单（附件）	10 年
沟通日志（内部 + 外部）	事件工单	10 年
用户通知（公告 + 电子邮件）	GitHub Advisory + 电子邮件存档	10 年
事后分析/经验教训	事件工单	10 年

参考编号方案

所有通知使用统一的参考编号方案：

通知类型	格式	示例
预警	`EW-YYYY-NNN`	EW-2026-001
漏洞通知	`VN-YYYY-NNN`	VN-2026-001
最终报告	`FR-YYYY-NNN`	FR-2026-001
内部事件	`INC-YYYY-NNN`	INC-2026-001

4.3.8 准备措施（2026 年 9 月 11 日前）

报告义务生效前须完成以下措施：

编号	措施	负责人	截止日期	状态
1	完成 ENISA SRP 注册	安全负责人	平台可用后立即	待办
2	核实国家 CSIRT 联系方式	安全负责人	2026 年第二季度	待办
3	准备并内部测试报告模板	安全负责人	2026 年第二季度	已完成
4	培训事件响应团队的报告流程	安全负责人	2026 年第二季度	待办
5	通过 ENISA SRP 进行测试通知	安全负责人	2026 年第三季度	待办
6	更新升级路径和联系人列表	安全负责人	2026 年第二季度	待办
7	安全存储 ENISA 访问凭证	安全负责人	2026 年第三季度	待办
8	在桌面演练中测试报告流程	安全负责人	2026 年第三季度	待办

4.3.9 决策树：报告义务

检测到安全事件
    │
    ├── 我们产品中的漏洞是否受到影响？
    │   ├── 否 → 无 CRA 报告义务（如适用请检查 NIS2）
    │   └── 是 ↓
    │
    ├── 漏洞是否正在被积极利用？
    │   ├── 是 → 须报告 (Art. 14(1))
    │   │         → 24 小时预警 + 72 小时通知 + 14 天最终报告
    │   └── 否 ↓
    │
    ├── 是否属于严重安全事件？
    │   ├── 是 → 须报告 (Art. 14(3))
    │   │         → 24 小时预警 + 72 小时通知 + 14 天最终报告
    │   └── 否 ↓
    │
    └── 常规漏洞处理
        → 漏洞管理（→ 第 3 章）
        → 根据 SLA 进行补丁管理
        → 无 ENISA 报告义务

第1章：CRA 概述

BAUER GROUP — Thu, 26 Mar 2026 10:46:49 GMT

第1章：CRA 概述

文档控制

字段	值
文档标题	CRA 合规手册
文档标识符	BG-CRA-HB-001
版本	1.0
分类	公开
范围	BAUER GROUP 所有含数字元素的产品
发布方	BAUER GROUP – 信息安全部门
创建日期	2026-02-08
审批	信息安全官 (ISO)
下次修订	2027-02-08

注意： 本文件为公开版本。个人数据（姓名、联系方式）未包含在本版本中，仅在内部版本中提供。

变更历史

版本	日期	作者	变更内容
1.0	2026-02-08	BAUER GROUP	初始版本

约束力

本手册对所有参与含数字元素产品 (Products with Digital Elements) 的开发、运营、分销或支持的 BAUER GROUP 员工具有约束力。偏离本手册所述流程需获得安全负责人和管理层的书面批准。

法规 (EU) 2024/2847 – 网络弹性法案

网络弹性法案 (Cyber Resilience Act, CRA) 是欧盟关于含数字元素产品横向网络安全要求的法规。该法规于2024年11月20日在《欧盟官方公报》上发布（OJ L, 2024/2847），并于2024年12月10日生效。

CRA 在所有欧盟成员国直接适用，对含数字元素产品的制造商 (Manufacturer)、进口商 (Importer) 和分销商 (Distributor) 规定了强制性义务。

法律特征

特征	详情
法律形式	欧盟法规（直接适用）
发布	OJ L, 2024/2847, 20.11.2024
生效日期	10.12.2024
报告义务自	11.09.2026（Art. 14）
全面适用自	11.12.2027（所有要求）
处罚	最高1500万欧元或全球年营业额的2.5%（Art. 64）

目的与目标

CRA 追求两个核心目标：

产品安全要求（Annex I 第一部分） – 含数字元素的产品只有在满足基本网络安全要求后才能在欧盟市场上提供。这包括安全设计 (Security-by-Design)、保密性、完整性、可用性以及攻击面的最小化。
漏洞处理（Annex I 第二部分） – 制造商必须在整个支持期内（至少5年，Art. 13(8)）系统地识别、记录、评估、修复漏洞，并向用户和主管机构报告。

与 NIS2 的关联

CRA 补充了 NIS2 指令（指令 (EU) 2022/2555）。NIS2 规范的是关键和重要实体运营方的网络安全，而 CRA 则针对这些实体所使用产品的安全性。CRA 的报告义务（Art. 14）以 NIS2 报告义务（Art. 23 NIS2）为蓝本，并使用相同的 ENISA 报告平台。

AI Act 协同

包含 AI 组件的产品必须同时遵守 CRA 和 EU AI Act (Regulation 2024/1689)。CRA 涵盖产品的网络安全；AI Act 涵盖安全、透明度和权利。AI Act Art. 8(2) 允许将 CRA 合规活动整合到 AI Act 合规流程中。

从这里开始

不确定 CRA 是否适用于您的产品？使用**适用性检查**获取交互式决策指导 — 从适用性到产品分类再到正确的合规路径。

适用范围

根据 Art. 2 CRA，本法规适用于其预期用途或合理可预见用途包含与设备或网络的直接或间接逻辑或物理数据连接的含数字元素的产品。

对于 BAUER GROUP，这涉及：

软件 – 独立应用程序、微服务、API、容器镜像
固件 – 嵌入式系统（ESP32、STM32、Zephyr RTOS）
库 – 公开发布的 NPM 和 NuGet 包
含软件的硬件 – 物联网设备、工业控制器
远程数据处理 – 作为产品组成部分的云组件

详细的产品类别和豁免情况请参见 1.1 适用范围与产品。

本章子页面

章节	主题
1.1	适用范围与产品
1.2	角色与职责
1.3	截止日期与时间表
1.4	进口商义务 (Art. 15)
1.5	授权代表 (Art. 16)
1.6	分销商义务 (Art. 17)
1.7	开源软件管理者 (Art. 18–19)
1.8	实质性修改 (Art. 20)
1.9	不合格 (Art. 22–23)
1.10	市场监管 (Art. 52–58)
1.11	处罚 (Art. 64)
1.12	协调标准 (Art. 5–6)
1.13	一般产品安全 (Art. 9)
1.14	NIS2 整合

本手册结构

本手册按照 CRA 的核心流程进行组织。每章涵盖一个独立的合规领域，包含法律依据、流程描述和操作实施：

章节	主题	CRA 参考
第1章	概述、范围、角色、截止日期	Art. 2, 3, 10, 13, 14, 16
第2章	SBOM 与签名	Art. 13(23), Art. 10(12), Annex I 第一部分 No. 3, 第二部分 No. 1
第3章	漏洞管理	Art. 10(6), Annex I 第二部分 No. 2-8
第4章	事件响应与披露	Art. 13(6), Art. 14
第5章	供应链安全	Art. 10(4), Annex I 第二部分 No. 1
第6章	技术文档	Art. 31, Annex VII
第7章	合格评定	Art. 24-28, Annex V, VIII
第8章	合规矩阵	完整要求映射
附录	模板	ENISA 通知、欧盟符合性声明、报告

工具链

BAUER GROUP 依赖全自动化工具链确保 CRA 合规，无需额外手动操作：

领域	工具	功能	状态
SBOM 生成	Trivy / Syft	软件物料清单 (CycloneDX JSON)	已启用
漏洞扫描	Trivy, Grype	基于 NVD + GitHub Advisory DB 的 CVE 检测	已启用
密钥扫描	Gitleaks, GitGuardian	检测暴露的密钥	已启用
依赖监控	Dependabot, Renovate	自动化依赖更新	已启用
许可证合规	FOSSA / Syft	基于白名单/黑名单的许可证评估	已启用
制品签名	Cosign (Sigstore)	容器镜像的完整性保证	已启用
SBOM 签名	Cosign (Blob-Signing)	SBOM 的完整性保证	已启用
基础镜像监控	自定义工作流	Docker 基础镜像漏洞监控	已启用
CVE 监控	`cra-scan.yml`	定期漏洞扫描并创建工单	已启用
CRA 发布	`cra-release.yml`	SBOM + 签名 + 扫描作为发布资产	已启用
软件安全中心报告	`cra-report.yml`	合规数据发送至 CRA 合规中心	已启用
CI/CD	GitHub Actions	所有合规流程的自动化	已启用
文档	VitePress + GitHub Pages	本合规手册	已启用

法规参考

法规	参考	相关性
网络弹性法案	法规 (EU) 2024/2847	本手册的主要法律依据
NIS2 指令	指令 (EU) 2022/2555	运营方的补充报告义务
授权法案	Art. 7, 8, 14(9) CRA	技术规范（预计2026/2027年）
ENISA 统一报告平台	Art. 14 CRA	漏洞报告的中央平台
ISO/IEC 29147:2018	漏洞披露	协调漏洞披露的参考标准
ISO/IEC 30111:2019	漏洞处理	漏洞处理的参考标准
CycloneDX v1.5+	OWASP 标准	SBOM 格式
NIST SP 800-161r1	C-SCRM	供应链风险管理最佳实践
IEC 62443	工业网络安全	工业控制系统的参考

术语和定义

术语	定义	CRA 参考
含数字元素的产品 (Product with digital elements)	软件或硬件产品及其远程数据处理解决方案，包括单独投放市场的软件或硬件组件	Art. 3(1)
制造商 (Manufacturer)	开发或已开发产品并以自己的名义或商标进行市场销售的自然人或法人	Art. 3(13)
软件物料清单 (Software Bill of Materials, SBOM)	产品中包含的组件及其依赖关系的正式、机器可读记录	Art. 3(39)
被积极利用的漏洞 (Actively exploited vulnerability)	有可靠证据表明恶意行为者在未经系统所有者许可的情况下利用的漏洞	Art. 3(42)
严重事件 (Severe incident)	对产品安全产生重大影响的事件，包括供应链完整性的破坏	Art. 3(43)
支持期 (Support period)	制造商有义务确保漏洞处理的期间，至少5年	Art. 13(8)
合格评定 (Conformity assessment)	验证是否满足基本要求的程序	Art. 3(30)
CE 标志 (CE marking)	制造商声明产品符合适用欧盟要求的标志	Art. 29
授权代表 (Authorised representative)	在欧盟境内设立的、经制造商书面授权代表其执行特定任务的自然人或法人	Art. 3(15), Art. 16

CRA 适用性检查

BAUER GROUP — Thu, 26 Mar 2026 10:46:49 GMT

CRA 适用性检查

使用此决策树确定网络弹性法案 (CRA) 是否适用于您的产品，以及应遵循的合规路径。

BAUER GROUP 规则

每个包含数字元素的产品在进入欧盟市场前必须完成此评估。 分类决策必须使用产品分类记录进行记录。

决策树

关卡 1：包含数字元素的产品？

┌───────────────────────────────────────────────┐
│ 产品是否包含数字元素？                          │
│ （软件、固件或具有逻辑数据连接的硬件              │
│  — Art. 3(1) CRA）                             │
│                                               │
│   否 → CRA 不适用 → 停止                       │
│   是 ↓                                        │
└───────────────────────────────────────────────┘

"包含数字元素的产品" 是指任何软件或硬件产品及其远程数据处理解决方案，包括单独投放市场的软件或硬件组件（Art. 3(1) CRA）。

关卡 2：豁免条款 (Art. 2(2))

┌───────────────────────────────────────────────┐
│ 是否适用以下任何豁免？                          │
│                                               │
│ ☐ 医疗器械 (Reg. 2017/745, 2017/746)          │
│ ☐ 机动车辆 (Reg. 2019/2144)                   │
│ ☐ 航空 (Reg. 2018/1139)                       │
│ ☐ 船舶设备 (Dir. 2014/90/EU)                  │
│ ☐ 国家安全 / 军事产品                          │
│ ☐ 纯 SaaS（无产品组件）                        │
│                                               │
│   是 → CRA 不适用（行业专项法规适用）→ 停止     │
│   否 ↓                                        │
└───────────────────────────────────────────────┘

NIS2 协同

纯 SaaS 服务受 NIS2 管辖，而非 CRA — 除非远程数据处理是物理或可安装产品的组成部分。

关卡 3：开源评估 (Art. 18–19)

┌───────────────────────────────────────────────┐
│ 这是开源软件吗？                               │
│                                               │
│   否 → 继续关卡 4 ↓                           │
│   是 → 是否存在商业活动？                       │
│        （销售、付费支持、付费集成、SaaS 提供）    │
│                                               │
│     否 → CRA 不适用 → 停止                     │
│     是 → 适用开源管理者义务                     │
│          (Art. 18–19) → 继续 ↓               │
└───────────────────────────────────────────────┘

注意

"商业活动"的定义范围广泛。仅接受捐赠不构成商业活动。但将软件作为付费产品或服务的一部分提供则构成商业活动。

关卡 4：产品分类 (Art. 6–7, Annex III & IV)

┌───────────────────────────────────────────────┐
│ 产品是否列于 Annex IV？                        │
│                                               │
│   是 → 关键产品                                │
│        → 需要 EUCC 认证                        │
│        → 参见：合规评估 / EUCC                  │
│   否 ↓                                        │
├───────────────────────────────────────────────┤
│ 产品是否列于 Annex III？                       │
│                                               │
│   是 → 哪个类别？                              │
│     II 类 → 模块 B+C 或模块 H                  │
│             → 参见：合规评估 / 模块 B+C         │
│     I 类  → 模块 A（含 hEN）或 B+C             │
│             → 参见：合规评估 / 模块 A           │
│   否 ↓                                        │
├───────────────────────────────────────────────┤
│ 标准（默认类别）                               │
│ → 模块 A（自我评估）                           │
│ → 参见：合规评估 / 自我评估                     │
└───────────────────────────────────────────────┘

结果总览

结果	产品类别	合规路径	工作量级别
标准	默认	模块 A（自我评估）	低
I 类	重要（I 类）	模块 A 含 hEN 或模块 B+C	中
II 类	重要（II 类）	模块 B+C 或模块 H	高
关键	关键（Annex IV）	EUCC 认证	非常高

预估合规工作量

要求	一次性	年度	适用于
安全风险评估 (Annex I)	20–40h	10–20h	所有类别
SBOM 生成与维护	8–16h	8–16h	所有类别
漏洞处理流程	20–40h	20–40h	所有类别
事件报告机制 (Art. 14)	16–32h	8–16h	所有类别
技术文档 (Annex VII)	40–80h	10–20h	所有类别
CE 标志与 EU DoC	8–16h	4–8h	所有类别
第三方评估 (模块 B+C)	40–80h	20–40h	I 类* / II 类
QMS 建立 (模块 H)	60–120h	30–60h	II 类（替代）
EUCC 认证流程	80–160h	40–80h	关键
标准合计	112–224h	60–120h
I 类合计（含 hEN）	112–224h	60–120h
I 类合计（不含 hEN）	152–304h	80–160h
II 类合计	212–424h	110–220h
关键合计	252–504h	130–260h

* I 类仅在未完全采用协调标准时才需第三方评估。

BAUER GROUP 方案

BAUER GROUP 依靠全自动工具链（Trivy、Grype、CycloneDX、Cosign、GitHub Actions）来最大限度减少标准和 I 类产品的人工工作量。详见工具映射。

后续步骤

根据您的分类结果：

记录决策 → 产品分类记录
启动合规流程 → 合规评估概述
准备文档 → 技术文档
建立报告机制 → ENISA 报告流程

产品分类记录

BAUER GROUP — Thu, 26 Mar 2026 10:46:49 GMT

产品分类记录

法律文件

本记录用于记录 CRA 产品分类决策。必须在将含数字元素的产品投放欧盟市场之前完成，并保存至少 10 年（Art. 13(12) CRA）。

1. 产品识别

字段	值
产品名称
产品版本
产品标识符
预期用途
产品负责人
安全负责人
评估日期

2. 适用性评估

问题	回答	参考
产品是否包含数字元素（软件、固件、具有数据连接的硬件）？	[ ] 是 / [ ] 否	Art. 3(1)
产品是否在欧盟市场上提供？	[ ] 是 / [ ] 否	Art. 2(1)
是否适用行业豁免（医疗、汽车、航空、船舶、军事）？	[ ] 是 / [ ] 否	Art. 2(2)
这是非商业性的开源软件吗？	[ ] 是 / [ ] 否	Art. 18–19

适用性结果： [ ] CRA 适用 / [ ] CRA 不适用

如不适用，请说明原因：___

3. 产品分类

3.1 Annex IV 检查（关键产品）

Annex IV 类别	是否适用？
硬件安全模块 (HSM)	[ ] 是 / [ ] 否
智能卡及类似设备（含安全元件）	[ ] 是 / [ ] 否
智能卡读卡器	[ ] 是 / [ ] 否
机器人和机器人控制器的传感器与执行器组件	[ ] 是 / [ ] 否
智能电表（根据 Directive 2019/944 定义）	[ ] 是 / [ ] 否

Annex IV 结果： [ ] 已列入（→ 关键） / [ ] 未列入（→ 继续）

3.2 Annex III 检查（重要产品）

Annex III 类别	类别	是否适用？
身份管理系统和特权访问软件	I	[ ] 是 / [ ] 否
独立浏览器	I	[ ] 是 / [ ] 否
密码管理器	I	[ ] 是 / [ ] 否
恶意软件检测/清除/隔离软件	I	[ ] 是 / [ ] 否
VPN 产品	I	[ ] 是 / [ ] 否
网络管理系统	I	[ ] 是 / [ ] 否
SIEM 系统	I	[ ] 是 / [ ] 否
引导管理器	I	[ ] 是 / [ ] 否
防火墙、IDS/IPS（非工业）	I	[ ] 是 / [ ] 否
互联网接入路由器、调制解调器	I	[ ] 是 / [ ] 否
具有安全功能的微控制器	I	[ ] 是 / [ ] 否
操作系统（非服务器/桌面）	I	[ ] 是 / [ ] 否
虚拟机管理程序和容器运行时	II	[ ] 是 / [ ] 否
防火墙、IDS/IPS（工业）	II	[ ] 是 / [ ] 否
防篡改微控制器/微处理器	II	[ ] 是 / [ ] 否
服务器、桌面、移动操作系统	II	[ ] 是 / [ ] 否
PKI 和证书颁发机构	II	[ ] 是 / [ ] 否
工业自动化和控制系统 (IACS)	II	[ ] 是 / [ ] 否
工业 IoT（不受其他行业法规约束）	II	[ ] 是 / [ ] 否

Annex III 结果： [ ] II 类 / [ ] I 类 / [ ] 未列入（→ 标准）

3.3 分类结果

字段	值
产品类别	[ ] 标准 / [ ] I 类 / [ ] II 类 / [ ] 关键
合规路径	[ ] 模块 A / [ ] 模块 A + hEN / [ ] 模块 B+C / [ ] 模块 H / [ ] EUCC
理由

4. 合规评估路径

标准	决策
是否完全采用协调标准 (hEN)？	[ ] 是 / [ ] 否 / [ ] 不适用
是否需要第三方评估？	[ ] 是 / [ ] 否
选择的评估模块	模块 ___
公告机构（如适用）

5. 审批

角色	姓名	签名	日期
产品负责人
安全负责人
质量经理

TIP

使用适用性检查获取分类过程的交互式指导。

第4章：事件响应与披露

BAUER GROUP — Tue, 24 Mar 2026 00:10:11 GMT

第4章：事件响应与披露

概述

事件响应框架 (Incident Response Framework) 涵盖了完整的 CRA 报告义务。自 2026 年 9 月 11 日 起，制造商须向 ENISA 或相关国家主管机构报告被积极利用的漏洞 (Actively Exploited Vulnerability) 和严重安全事件。

2026 年 9 月 11 日起的报告义务

根据 Art. 14 CRA 的报告义务于 2026 年 9 月 11 日生效。自该日期起，被积极利用的漏洞必须在 24 小时 内报告。

报告义务概览

事件	期限	接收方	模板
被积极利用的漏洞	24 小时预警	ENISA / CSIRT	预警通知
漏洞更新	72 小时通知	ENISA / CSIRT	漏洞通知
最终报告	14 天	ENISA / CSIRT	最终报告
严重安全事件	24 小时预警	ENISA / CSIRT	事件报告
用户通知	立即	受影响用户	漏洞报告

章节结构

章节	主题	CRA 引用
4.1	事件响应手册 — 升级级别、阶段、检查清单	Art. 14, Annex I Part II
4.2	漏洞披露政策 — 依据 ISO 29147 的协调漏洞披露 (CVD)	Art. 13(6)
4.3	ENISA 报告流程 — 期限、程序、文档记录	Art. 14(1)-(3)
4.4	沟通计划 — 内部/外部沟通渠道	Art. 14(8)

NIS2协同效应

运营事件响应流程和BSI报告义务（§32 BSIG）在NIS2合规文档中描述。产品漏洞通过此CRA流程报告，运营事件通过NIS2流程报告。

1.14 NIS2 整合

BAUER GROUP — Tue, 24 Mar 2026 00:10:11 GMT

1.14 NIS2 整合

1.14.1 概述

网络弹性法案 (CRA) 和 NIS2 指令（指令 (EU) 2022/2555）是互补的欧盟网络安全法规。CRA 规范产品，而 NIS2 涉及运营方（关键和重要实体）。像 BAUER GROUP 这样的公司可能同时受两项法规的约束。

BAUER GROUP 的完整NIS2合规文档请访问 nis2.docs.bauer-group.com。

法律依据

CRA 序言第20条： CRA 补充 NIS2 指令，并与其要求保持一致。符合 CRA 要求的产品有助于其运营方满足 NIS2 要求。

NIS2 Art. 21： 关键和重要实体的网络安全措施，包括供应链安全。

1.14.2 CRA 与 NIS2 的界定

标准	CRA	NIS2
规范对象	含数字元素的产品	运营方（实体）
适用对象	制造商、进口商、分销商	关键和重要实体
关注点	产品安全（安全设计）	运营安全（风险管理）
法律形式	法规（直接适用）	指令（需国内转化）
适用自	11.12.2027（全面）	18.10.2024（转化期限）
制裁	最高1500万欧元 / 2.5%	最高1000万欧元 / 2%
报告义务	ENISA（24小时/72小时/14天）	CSIRT（24小时/72小时/1个月）

1.14.3 决策树：适用哪项法规？

BAUER GROUP 是否制造含数字元素的产品？
├── 是 → CRA 适用（作为制造商）
│   └── 产品是否为 SaaS（纯云端）？
│       ├── 是 → CRA 不适用于 SaaS
│       │   └── 检查 NIS2（作为运营方）
│       └── 否 → CRA 适用
└── 否 → CRA 不适用于制造商

BAUER GROUP 是否为关键或重要实体？
├── 是 → NIS2 适用（作为运营方）
│   └── 检查行业（NIS2 Annex I/II）
└── 否 → NIS2 不适用

1.14.4 重叠要求

漏洞管理

要求	CRA	NIS2
识别漏洞	Art. 10 第6款, Annex I 第二部分	Art. 21 第2款 (e)
修复漏洞	Art. 10 第6-7款	Art. 21 第2款 (e)
协调披露	Art. 10 第9款, Art. 13 第6款	Art. 12
维护 SBOM	Art. 13 第23款	未明确（供应链）

协同效应： CRA 合规的漏洞处理在很大程度上也满足 NIS2 Art. 21 第2款 (e) 的要求。

报告义务

方面	CRA (Art. 14)	NIS2 (Art. 23)
触发条件	被积极利用的漏洞或严重事件	重大安全事件
早期预警	24小时	24小时
通知	72小时	72小时
最终报告	14天	1个月
报告机构	ENISA + 国家 CSIRT	国家 CSIRT/主管机构
平台	ENISA 统一报告平台	国家报告平台

双重报告

如果 BAUER GROUP 同时作为 CRA 制造商和 NIS2 实体受到影响，可能会触发两项独立的报告义务。欧盟正在开发简化的报告平台（ENISA SRP），旨在整合两项报告。

CRA 报告流程：ENISA 报告流程

供应链安全

要求	CRA	NIS2
供应链安全	Art. 10 第4款, Annex I 第二部分 No. 1	Art. 21 第2款 (d)
供应商尽职调查	Annex I 第二部分 No. 1	Art. 21 第2款 (d)
第三方评估	第三方评估	供应商评估

协同效应： CRA 合规的供应链流程也满足 NIS2 Art. 21 第2款 (d) 的供应链要求。

事件响应

要求	CRA	NIS2
事件响应计划	隐含（Art. 10）	Art. 21 第2款 (b)
业务连续性	未明确	Art. 21 第2款 (c)
危机管理	未明确	Art. 21 第2款 (c)

差距： NIS2 明确要求业务连续性和危机管理，而 CRA 侧重于产品安全。

1.14.5 综合合规策略

第1步：确定范围

问题	结果
我们是否制造含数字元素的产品？	→ CRA 义务
我们是否为关键/重要实体（NIS2 Annex I/II）？	→ NIS2 义务
我们是否运营 SaaS 产品？	→ NIS2（非 CRA）
我们是否进口非欧盟产品？	→ CRA 进口商义务

第2步：利用协同效应

以下流程可同时覆盖两项法规：

漏洞管理 → 漏洞管理
事件响应 → 事件响应
供应链安全 → 供应链
SBOM 管理 → SBOM 与签名

第3步：NIS2 特定补充

超出 CRA 的 NIS2 要求：

NIS2 要求	描述	CRA 覆盖
Art. 21(2)(a)	风险管理策略	部分（与产品相关）
Art. 21(2)(b)	事件响应	是
Art. 21(2)(c)	业务连续性	需单独实施
Art. 21(2)(d)	供应链安全	是
Art. 21(2)(e)	漏洞处理	是
Art. 21(2)(f)	网络卫生与培训	需单独实施
Art. 21(2)(g)	密码学	部分
Art. 21(2)(h)	人力资源安全	需单独实施
Art. 21(2)(i)	多因素认证、安全通信	部分
Art. 21(2)(j)	资产管理	部分（SBOM）

第4步：统一报告流程

对于同时受两项法规约束的公司：

联合初步评估流程用于事件
并行报告给 CRA 和 NIS2 机构（在统一平台可用之前）
统一模板（ENISA 早期预警）
文档化的决策逻辑： 哪个事件触发哪项报告义务

1.14.6 时间表

日期	事件
18.10.2024	成员国的 NIS2 转化期限
11.09.2026	CRA 报告义务生效（Art. 14）
11.12.2027	CRA 全面适用

建议

从 NIS2 合规开始（已经适用），并将已实施的流程作为 CRA 合规（自2027年起）的基础。这样可以避免重复工作，并创建一个综合合规框架。

AI法案参考

对于AI驱动的产品，还适用AI法案（法规 (EU) 2024/1689）的额外要求。完整文档请访问 ai-act.docs.bauer-group.com。

第5章：供应链安全

BAUER GROUP — Tue, 24 Mar 2026 00:10:11 GMT

第5章：供应链安全

概述

保障软件供应链安全是 CRA 的核心要求。制造商在集成第三方组件时必须履行尽职调查 (Due Diligence) 义务，并确保整个供应链的完整性。

法律依据

Art. 10(4) CRA: "The manufacturer shall exercise due diligence when integrating components sourced from third parties, to ensure that those components do not compromise the security of the product."

Annex I, Part II, No. 1: "The manufacturer shall identify and document the vulnerabilities and components contained in the product, including by drawing up a software bill of materials."

安全措施

已实施的措施

措施	工具	工作流	状态
依赖项漏洞扫描	Trivy, Grype, Snyk	`modules-security-scan.yml`	✅
自动化依赖更新	Dependabot	`docker-maintenance-dependabot.yml`	✅
许可证合规 (License Compliance)	FOSSA / 自定义	`modules-license-compliance.yml`	✅
密钥扫描 (Secret Scanning)	Gitleaks, GitGuardian	`modules-security-scan.yml`	✅
Docker 基础镜像监控	自定义工作流	`modules-docker-base-image-monitor.yml`	✅
容器镜像签名	Cosign	`docker-build.yml`	✅
SBOM 生成	Trivy / Syft	`modules-license-compliance.yml`	✅

章节结构

章节	主题	描述
5.1	依赖政策	依赖项管理策略
5.2	基础镜像政策	Docker 基础镜像管理
5.3	第三方评估	第三方组件评估
5.4	经济运营者识别 (Art. 21)	供应链可追溯性

NIS2协同效应

IT服务提供商和基础设施供应商评估在NIS2合规文档中描述。CRA侧重于软件供应链，NIS2侧重于服务提供商评估。

第3章：漏洞管理

BAUER GROUP — Tue, 24 Mar 2026 00:10:11 GMT

第3章：漏洞管理

概述

漏洞管理 (Vulnerability Management) 是 CRA 下的核心义务之一。制造商必须在整个支持期内对其产品中的漏洞进行识别、评估、修复和报告。

法律依据

Art. 10(6) CRA: 制造商应建立有效且定期的程序，以识别产品中的漏洞。

Annex I, Part II, No. 2: 制造商应识别和记录产品的漏洞和组件，并及时修复已知漏洞。

流程架构

                         +---------------------+
                         |  SBOM（每次发布）     |
                         +----------+----------+
                                    |
              +----------+----------+----------+----------+
              v          v          v          v          v
    +--------------+ +--------+ +--------+ +--------+ +--------+
    |CVE 监控      | |Dependa-| | Trivy  | |  OSV-  | | Grype  |
    |（每日 SBOM） | |  bot   | | 扫描   | |Scanner | |（可选）|
    |              | |（PR）  | |（CI/CD）| |（CI/CD）| |        |
    +------+-------+ +---+----+ +---+----+ +---+----+ +---+----+
           |             |          |          |          |
           +-------------+----------+----------+----------+
                                    v
                         +----------------------+
                         |  分诊与评估           |
                         |  (CVSS / 严重程度)    |
                         +----------+-----------+
                                    |
                   +----------------+----------------+
                   v                v                 v
         +-----------------+ +--------------+ +--------------+
         |  严重/高危       | |  中等/低危    | |  无 CVE      |
         |  -> 立即修补     | |  -> 计划修复  | |  -> 继续监控  |
         |  -> 如需向       | |  -> 下一次    | |              |
         |     ENISA 报告   | |    发布       | |              |
         +-----------------+ +--------------+ +--------------+

章节结构

章节	主题	描述
3.1	CVE 监控	每日扫描所有产品 SBOM 与 CVE 数据库进行比对
3.2	依赖项监控	通过 Dependabot + GitHub Security Alerts 持续监控
3.3	补丁管理	基于 SLA 的漏洞修复流程
3.4	风险评估	产品上下文中的评估方法论
3.5	处理要求 (Annex I Part II)	8 项漏洞处理要求

职责

角色	任务
安全负责人 (Security Lead)	分诊、风险评估、升级处理、ENISA 报告
DevOps 负责人	CVE 监控运维、流水线维护
开发团队	补丁开发、测试
产品负责人 (Product Owner)	优先级排序、发布计划

NIS2协同效应

基础设施漏洞管理（服务器、网络、操作系统）在NIS2合规文档中描述。

9.1 CRA 合规声明

BAUER GROUP — Mon, 23 Mar 2026 14:38:37 GMT

9.1 CRA 合规声明

9.1.1 目的

CRA 合规声明是产品所有 CRA 合规制品的公开摘要。它作为客户、市场监督当局和内部审计的中心参考点。

重要

CRA 合规声明不能替代具有法律约束力的欧盟符合性声明 (Annex V)。它是补充性的、可公开访问的展示，链接到所有相关文件。

9.1.2 生成原则

原则

机器可读的 JSON 是唯一来源。 所有人类可读格式和合规制品均从中生成——从不单独维护。

text

                    ┌──────────────────────────┐
                    │  .compliance/             │
                    │  cra-statement.json       │
                    │  (唯一事实来源)             │
                    └─────────┬────────────────┘
                              │
          ┌───────────────────┼───────────────────┐
          │                   │                   │
          ▼                   ▼                   ▼
┌─────────────────┐ ┌─────────────────┐ ┌─────────────────┐
│ 合规页面        │ │ CE 标志         │ │ 容器标签        │
│ (HTML/PDF)      │ │ (关于对话框、   │ │ (OCI 注解、     │
│ 门户上          │ │  README、页脚)  │ │  Dockerfile)    │
└─────────────────┘ └─────────────────┘ └─────────────────┘
          │                   │                   │
          ▼                   ▼                   ▼
┌─────────────────┐ ┌─────────────────┐ ┌─────────────────┐
│ API 端点        │ │ 简化 DoC        │ │ 发布说明        │
│ 供当局使用      │ │ (Annex VI)      │ │ 片段            │
└─────────────────┘ └─────────────────┘ └─────────────────┘

生成的制品

制品	生成自	目标
合规页面 (HTML/PDF)	所有 JSON 字段	合规门户
CE 标志	`manufacturer.`、`conformity.`、`cra_classification.notified_body`	关于对话框、README、页脚、文档
容器标签	`conformity.ce_marking`、`conformity.declaration_url`、`support_period.end_date`	Dockerfile / OCI 注解
简化 DoC (Annex VI)	`manufacturer.name`、`product.`、`conformity.declaration_url`、`support_period.`	README、发布说明、包装
API 响应	完整 JSON	`/api/products/{name}.json`
发布说明片段	`conformity.`、`support_period.`、`security_documentation.*`	GitHub Release

从 JSON 生成 CE 标志

CE 标志从 JSON 字段生成，并自动放置在配置的位置（→ 7.7 CE 标志）：

text

生成的 CE 标志：

  CE [1234]                              ← notified_body（如适用）
  BAUER GROUP                            ← manufacturer.name
  Musterstraße 1, 12345 Musterstadt     ← manufacturer.address
  MinIO Gateway v2.1.0                   ← product.name + product.version

对于容器镜像，还会生成 OCI 标签：

dockerfile

LABEL org.opencontainers.image.ce-marking="conformant"
LABEL eu.cra.doc.url="https://go.bauer-group.com/cra-minio-gateway"
LABEL eu.cra.doc.version="1.0"
LABEL eu.cra.support.end="2031-03-01"

9.1.3 必要内容

根据 CRA，以下信息必须公开可访问，并在声明中汇总：

CRA 参考	信息	交叉引用
Art. 13(6)	协调漏洞披露政策	→ 4.2 披露政策
Art. 13(8)	支持期限	→ 6.4 支持与生命周期
Art. 13, Annex II	用户信息（安全说明）	→ 7.10 用户信息
Art. 28, Annex V	欧盟符合性声明（或链接）	→ 7.8 欧盟符合性声明
Art. 29–30	CE 标志	→ 7.7 CE 标志
Annex I, 第二部分, 第1项	SBOM（机器可读）	→ 第2章：SBOM 与签名
Annex VII	制造商联系信息	→ 6.1 产品描述

9.1.4 推荐结构

CRA 合规声明应包含以下部分：

1. 产品标识

产品名称、版本、类型（软件 / 容器 / 固件）
CRA 产品类别（标准 / 第一类 / 第二类 / 关键）
唯一标识符（如 Package URL、容器镜像引用）

2. 制造商信息

公司、地址
安全联系方式（如 disclosure@bauer-group.com）
授权代表（如适用）

3. 合规状态

采用的合规评估程序（→ 第7章）
欧盟符合性声明 (Annex V) 的链接
CE 标志：状态和位置
上次评估日期

4. 安全文档

链接至：

SBOM (CycloneDX JSON)
漏洞披露政策 / SECURITY.md
用户信息 (Annex II)
技术文档（公开可用部分）

5. 支持期限

支持期限的开始和结束
当前阶段（主动支持 / 安全支持）
更新机制参考（→ 6.3 更新机制）

6. 协调标准

采用的协调标准和技术规范
SBOM 格式标准（如 CycloneDX v1.5）

7. 漏洞管理

漏洞披露政策参考
CVE 监控状态
补丁 SLA（→ 3.3 补丁管理）

9.1.5 示例

虚拟产品的 CRA 合规声明示例：

CRA 合规声明

MinIO Gateway — 版本 2.1.0

日期： 2026-03-01 | 制造商： BAUER GROUP

字段值

产品类型容器镜像

CRA 类别标准

合规模块模块 A（内部控制）

CE 标志 ✅ 在"关于"对话框和文档中

欧盟符合性声明 [DoC 链接]

SBOM [CycloneDX JSON — GitHub Release]

SECURITY.md [链接]

用户信息 (Annex II) [链接]

支持期限 2026-03-01 至 2031-03-01

漏洞披露 disclosure@bauer-group.com

9.1.6 放置位置

渠道	格式	受众
合规门户	HTML（从 JSON 生成）	客户、当局
产品仓库	`.compliance/cra-statement.json`	开发人员、审计
README.md	带链接的简化引用	开发人员
产品网站	合规部分	客户
发布说明	当前声明的引用	所有人

→ 发布策略详情：9.2 发布策略

9.1.7 交叉引用

文档	链接
欧盟符合性声明 (Annex V)	7.8 欧盟符合性声明
简化 DoC (Annex VI)	7.9 简化 DoC
用户信息 (Annex II)	7.10 用户信息
CE 标志	7.7 CE 标志
模板	A.9 CRA 合规声明

9.2 发布策略

BAUER GROUP — Mon, 23 Mar 2026 14:38:37 GMT

9.2 发布策略

9.2.1 双重发布概念

原则

唯一事实来源 = 产品的 Git 仓库 公开展示 = 中央合规网站

合规数据只在一个地方维护——各产品的仓库中。从那里自动发布到中央合规网站。

text

┌────────────────────┐                ┌──────────────────────────┐
│  产品仓库           │     CI/CD      │  生成的制品               │
│                    │                │                          │
│  .compliance/      │   验证         │  ┌── 合规门户             │
│    cra-statement.  │──────────────→│  │   (HTML/PDF)           │
│    json            │   + 生成       │  ├── CE 标志              │
│                    │                │  │   (关于对话框、README)  │
│  (唯一来源)        │                │  ├── 容器标签             │
│                    │                │  │   (OCI 注解)           │
│                    │                │  ├── 简化 DoC             │
│                    │                │  └── API 端点             │
└────────────────────┘                └──────────────────────────┘
        ↑                                       ↑
   开发人员仅维护                       客户、当局、
   JSON 文件                           公众

9.2.2 优势

方面	优势
版本控制	声明与产品代码一起版本化
审查	更改经过与代码相同的审查流程
自动化	发布时自动发布
一致性	JSON Schema 在所有产品中强制统一格式
审计跟踪	Git 历史记录每次更改

9.2.3 仓库结构

每个产品仓库包含一个 .compliance/ 目录：

text

product-repo/
├── .compliance/
│   ├── cra-statement.json          # 机器可读的 CRA 声明
│   └── README.md                   # 合规结构简要说明
├── SECURITY.md                     # 漏洞披露政策
├── docs/
│   └── compliance/
│       ├── eu-declaration.pdf      # 欧盟符合性声明 (Annex V)
│       └── user-info.md            # 用户信息 (Annex II)
└── ...

文件详情

文件	必需	描述
`.compliance/cra-statement.json`	✅ 是	机器可读的 CRA 合规声明（→ 9.3）
`.compliance/README.md`	推荐	向开发人员解释合规结构
`SECURITY.md`	✅ 是	漏洞披露政策（→ 4.2）
`docs/compliance/eu-declaration.pdf`	✅ 是	具有法律约束力的欧盟符合性声明
`docs/compliance/user-info.md`	✅ 是	根据 Annex II 的用户信息

9.2.4 网站 URL 方案

中央合规门户遵循统一的 URL 结构：

text

https://cra.app.bauer-group.com/
├── /products/                      # 产品目录
│   ├── /products/{name}/           # 产品合规页面
│   │   ├── /cra                    # CRA 合规声明
│   │   ├── /doc                    # 欧盟符合性声明
│   │   └── /sbom                   # SBOM 下载
│   └── ...
└── /api/                           # （可选）当局 API 访问
    └── /api/products/{name}.json   # 机器可读访问

9.2.5 可访问性

信息	公开	内部	CRA 参考
CRA 合规声明	✅	✅	Art. 13
欧盟符合性声明	✅	✅	Art. 28
简化 DoC	✅	✅	Annex VI
用户信息 (Annex II)	✅	✅	Art. 13
SBOM	应要求提供	✅	Annex I, 第二部分
技术文档 (Annex VII)	❌	✅	Art. 31
合规评估记录	❌	✅	Art. 28

注意

完整的技术文档 (Annex VII) 不需要公开提供，但必须在市场监督当局要求后 10 天内提交（Art. 31 CRA）。

9.2.6 CI/CD 集成

发布集成到现有的 CI/CD 管道中：

text

创建发布标签
    │
    ├── 1. JSON Schema 验证 (.compliance/cra-statement.json)
    │       → 失败 = 阻止发布
    │
    ├── 2. 完整性检查
    │       → 所有必填字段是否已填写？
    │       → 引用的文档（DoC、SBOM）是否存在？
    │
    ├── 3. 发布到合规门户
    │       → 生成 HTML
    │       → 生成 PDF（可选）
    │
    └── 4. 通知
            → Slack/Teams："产品 {product} v{version} 的合规声明已发布"

9.2.7 交叉引用

主题	链接
JSON Schema 定义	9.3 机器可读格式
更新流程	9.4 维护与更新
SBOM 归档	2.3 归档与保留
可填写模板	A.9 CRA 合规声明

安全策略

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

安全策略

报告漏洞

BAUER GROUP 高度重视我们产品的安全性。如果您认为发现了安全漏洞，请按以下方式向我们报告。

首选方式：GitHub 安全公告

对于每个受影响的代码仓库，请使用 Security → Advisories → New Draft Advisory 来保密地报告漏洞。

电子邮件

电子邮件： disclosure@bauer-group.com

请包含以下信息：

漏洞描述
复现步骤
受影响的产品和版本
影响评估（如可能）
您的联系方式

预期流程

里程碑	时间
确认收到	48小时内
初步评估	7天内
状态更新	至少每 14天
协调披露	报告后 90天（默认）

我们的承诺

我们不会对善意行事的研究人员采取法律行动
我们将感谢您的贡献（经您许可）
我们将与您协调披露时间表
我们将定期提供状态更新

支持的版本

有关支持的版本和支持期，请参阅各产品的文档。

范围

本策略适用于所有 BAUER GROUP 含数字元素的产品，包括：

软件产品（Web 应用、API、库）
容器镜像
固件（ESP32、STM32、Zephyr）
已发布的包（NuGet、NPM）

不在范围内

社会工程攻击
拒绝服务攻击
针对基础设施的物理攻击
第三方产品中的漏洞（请向相应的供应商报告）

法规框架

本安全策略符合：

网络弹性法案 (EU) 2024/2847 – Art. 13 (6) & (8)
ISO/IEC 29147:2018 – 漏洞披露 (Vulnerability Disclosure)
ISO/IEC 30111:2019 – 漏洞处理流程 (Vulnerability Handling Processes)

7.10 用户信息（Annex II）

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

7.10 用户信息（Annex II）

7.10.1 概述

CRA 的 Annex II 定义了制造商必须向产品用户提供的强制性信息。这些信息必须清晰、易懂，并以用户容易获取的方式提供。

法律依据

Annex II CRA： 给用户的信息和说明。以下信息应随含数字元素的产品提供。

7.10.2 强制性内容

第1项 — 制造商信息

要求： 制造商的名称、注册商号或注册商标以及通讯地址。

BAUER GROUP 的实施方式：

每个产品仓库中：README.md 含制造商信息
产品网站上：法律声明/版本说明
软件中：关于对话框或页脚
文档中：扉页

模板规范：

制造商：BAUER GROUP
地址：  [公司地址]
电子邮件：[联系邮箱]
网址：  [产品 URL]

第2项 — 联系点 (Contact Point)

要求： 可报告漏洞的单一联系点，以及制造商的漏洞处理政策。

BAUER GROUP 的实施方式：

每个仓库中的 SECURITY.md（模板）
联系方式：disclosure@bauer-group.com
已启用 GitHub Security Advisories
引用披露策略

第3项 — 产品标识

要求： 产品的唯一标识：名称、型号、版本、批号/序列号。

BAUER GROUP 的实施方式：

所有软件采用语义化版本管理 (Semantic Versioning, SemVer)
容器镜像标签包含 SHA 摘要
发布说明包含版本、日期和变更日志
SBOM 包含唯一产品标识 (CPE/PURL)

第4项 — 预期用途

要求： 产品的预期用途，包括安全环境。

BAUER GROUP 的实施方式：

产品描述（参考）：目的、目标受众、部署环境
运行条件： 操作系统、网络、硬件要求
安全环境： 前提条件（防火墙、VPN、网络分段）
限制： 明确记录产品不适用于什么

示例：

预期用途：用于管理[功能]的内部企业应用。
设计用于在企业防火墙后以经认证的访问方式运行。

不适用于：未经网络保护的公开运营、
在关键基础设施 (CRITIS) 中使用。

第5项 — 可预见的误用

要求： 可预见的误用场景的描述。

BAUER GROUP 的实施方式：

按产品类型识别典型误用场景
文档中的警告通知
防止误用的技术保障措施

典型误用场景：

场景	措施
在生产环境中使用默认密码	初始设置时强制更改密码
长时间不进行更新的运行	自动更新通知
将内部 API 暴露到互联网	文档中的警告、网络检查
使用过时的 TLS 版本	仅支持 TLS 1.2+，拒绝旧版本
禁用安全功能	停用时警告、审计日志

第6项 — SBOM 参考

要求： SBOM 可用性的通知（或获取 URL）。

BAUER GROUP 的实施方式：

SBOM 作为发布资产发布
产品文档中的 SBOM URL
机器可读格式的 SBOM（CycloneDX JSON）

模板规范：

SBOM：可在 [Release-URL]/sbom.cdx.json 获取
格式：CycloneDX JSON v1.6
已签名：是（Cosign）

详情：SBOM与签名

第7项 — 支持期限

要求： 提供安全更新的期限，至少5年或预期产品生命周期。

BAUER GROUP 的实施方式：

支持期限记录在产品文档中
每个仓库的 SECURITY.md 中
产品网站上
发布说明中

详情：支持与生命周期

第8项 — 安装指南和安全配置

要求： 产品安全安装、配置、调试和使用的说明。

BAUER GROUP 的实施方式：

安装指南： 包含安全注意事项的分步说明
加固指南： 推荐的安全配置
检查清单： 安装后安全检查清单
最低要求： 已记录的系统先决条件

安装指南的内容：

系统先决条件（包括安全要求）
包含完整性验证的安装步骤
初始设置（密码、MFA、网络）
推荐的安全配置（加固）
更新配置（自动/手动）
备份设置

第9项 — EU 符合性声明

要求： EU 符合性声明 (EU Declaration of Conformity) 的引用或带 URL 的简化版本。

BAUER GROUP 的实施方式：

产品文档中的 EU 符合性声明 URL
根据 Annex VI 的简化版本（-> 简化 DoC）

第10项 — 更新信息

要求： 关于安全更新类型和位置的信息。

BAUER GROUP 的实施方式：

发布渠道已记录（GitHub Releases、Container Registry、OTA）
通知渠道（GitHub Watch、电子邮件、RSS）
文档中的更新说明

7.10.3 模板：用户信息

可填写模板：用户信息/产品安全信息

7.10.4 检查清单：Annex II

[ ] 产品和文档中有制造商信息
[ ] SECURITY.md 包含联系点和 CVD 策略
[ ] 唯一产品标识（SemVer、摘要）
[ ] 预期用途已记录
[ ] 可预见的误用场景已识别并处理
[ ] 产品文档中有 SBOM 参考
[ ] 支持期限已确定并传达
[ ] 包含安全注意事项的安装指南
[ ] EU 符合性声明的引用
[ ] 更新信息（渠道、通知、说明）

7.9 简化 DoC（Annex VI）

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

7.9 简化 DoC（Annex VI）

7.9.1 概述

除了完整的 EU 符合性声明（Annex V）外，CRA 还允许根据 Annex VI 使用简化版本 (Simplified EU Declaration of Conformity)。前提是完整版本可在线获取时，简化版本可随产品提供。

法律依据

Art. 28(3) CRA： 制造商可根据 Annex VI 随产品提供简化的 EU 符合性声明，前提是完整版本可在线获取。

Annex VI CRA： 简化 EU 符合性声明的内容。

7.9.2 何时使用简化版本？

场景	版本
产品包装、README、用户界面	简化版（Annex VI）
正式文档、当局要求	完整版（Annex V）
在线提供	完整版（Annex V）
发布说明	简化版（Annex VI）附完整版 URL

7.9.3 强制性内容（Annex VI）

简化 EU 符合性声明至少应包含：

1. 制造商信息

[制造商名称]
声明以下含数字元素的产品

2. 产品标识

[产品名称、型号、版本]

3. 合规声明

符合 Regulation (EU) 2024/2847
（Cyber Resilience Act）的规定。

4. 完整声明的 URL

完整的 EU 符合性声明请见：
[URL]

7.9.4 模板：简化 EU 符合性声明

markdown

## EU 符合性声明（简化版）

**BAUER GROUP** 特此声明，产品

**[产品名称] v[版本]**

符合 Regulation (EU) 2024/2847
（Cyber Resilience Act）的规定。

完整的 EU 符合性声明请见：
> [完整 DoC 的 URL]

支持期限：[日期] 至 [日期]
联系方式：[电子邮件]

7.9.5 放置位置

软件产品

仓库中的 README.md
应用程序中的关于对话框或页脚
每个版本的发布说明
产品网站
容器镜像标签（OCI Annotations）

固件/硬件

包装（印刷或附页）
快速入门指南
产品标签（带 URL 的二维码）

7.9.6 容器镜像标签示例

dockerfile

LABEL eu.cra.doc.url="https://go.bauer-group.com/cra-[product]"
LABEL eu.cra.doc.version="1.0"
LABEL eu.cra.support.end="2031-12-31"

7.9.7 与 Annex V 的关系

方面	Annex V（完整版）	Annex VI（简化版）
强制性	是，始终需要	可选（附 Annex V 的 URL）
范围	10项强制内容	4项强制内容
保留	10年	产品生命周期
当局要求	必须提交	不充分
语言	当局所用语言	目标市场语言

完整版：EU 符合性声明（Annex V）

可填写模板：EU 符合性声明模板

4.4 沟通计划

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

4.4 沟通计划

4.4.1 概述

沟通计划定义了安全事件的内部和外部沟通渠道。目标是快速、一致且符合法律要求的信息共享。

4.4.2 沟通矩阵

内部沟通

严重程度	接收方	渠道	时间范围
SEV-1	安全负责人、DevOps 负责人、管理层、开发团队	Teams（事件频道）+ 电话	立即
SEV-2	安全负责人、DevOps 负责人、受影响的开发团队	Teams（事件频道）	≤ 1 小时
SEV-3	安全负责人、受影响的开发团队	Teams + GitHub Issue	≤ 4 小时
SEV-4	受影响的开发团队	GitHub Issue	≤ 24 小时

外部沟通

接收方	渠道	时间范围	负责人
ENISA / CSIRT	统一报告平台 (Single Reporting Platform)	≤ 24 小时（预警）	安全负责人
受影响用户	GitHub Advisory + 电子邮件	立即（修复后）	安全负责人 + 产品负责人
公众	GitHub Security Advisory	补丁可用后	安全负责人
安全研究人员（CVD）	GitHub Advisory / 电子邮件	根据披露政策	安全负责人

4.4.3 沟通模板

内部初始通知（Teams）

🚨 安全事件 – SEV-[1/2/3/4]

产品：[产品名称] v[版本]
漏洞：[CVE-ID 或简要描述]
严重程度：[CRITICAL/HIGH/MEDIUM/LOW]
是否被积极利用：[是/否/未知]
是否须向 ENISA 报告：[是/否]

状态：[分类/遏制/修复/已关闭]
后续步骤：[描述]
负责人：[姓名]

事件工单：[GitHub Issue 链接]

外部用户通知

安全通知 – [产品名称]

尊敬的用户，

我们已在 [产品名称] 中识别并修复了一个安全漏洞。

受影响版本：[版本]
修复版本：[版本]
严重程度：[CRITICAL/HIGH]
CVE：[CVE-ID]

建议操作：
请更新至版本 [X.Y.Z]。

详情：[安全公告链接]

如有疑问，请联系：disclosure@bauer-group.com

4.4.4 升级路径

SEV-1（严重）：
开发人员 → 安全负责人 → 管理层 → ENISA（24 小时）
                                 → 用户（立即）

SEV-2（高）：
开发人员 → 安全负责人 → 管理层（通知）
                      → 用户（修复后）

SEV-3（中）：
开发人员 → 安全负责人 → 在下一版本中修补

SEV-4（低）：
开发人员 → 待办事项 → 常规发布

4.4.5 Teams 集成

现有的 Teams 通知（teams-notifications.yml）将针对安全事件进行扩展：

事件频道： 专用于安全事件的 Teams 频道
自动告警： 针对来自 CVE 监控的 CRITICAL/HIGH CVE 发现
状态更新： 事件工单状态变更时自动更新

4.4.6 文档记录要求

安全事件相关的所有沟通均须记录：

每次沟通的时间戳
接收方和渠道
内容（摘要）
接收确认

该文档是事件工单的一部分，作为面向监管机构的证据。

4.2 漏洞披露政策

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

4.2 漏洞披露政策

4.2.1 协调漏洞披露 (Coordinated Vulnerability Disclosure, CVD)

本政策定义了根据 CRA Art. 13(6) 和 ISO/IEC 29147:2018 进行协调漏洞披露 (Coordinated Vulnerability Disclosure) 的流程。

法律依据

Art. 13(6) CRA: "The manufacturer shall facilitate the coordinated disclosure of vulnerabilities by designating a contact point for the reporting of vulnerabilities and setting out its coordinated vulnerability disclosure policy."

4.2.2 适用范围

本政策适用于 BAUER GROUP 的所有含数字元素的产品 (Products with Digital Elements)，包括：

软件产品（Web 应用程序、API、库）
容器镜像
固件 (Firmware)（ESP32、STM32、Zephyr）
可公开访问的服务

4.2.3 报告渠道

1. GitHub Security Advisories（首选）

每个代码仓库： Security → Advisories → New Draft Advisory

优势：

机密通信
集成 CVE 分配
在私有分支中进行补丁协调
结构化记录

2. 电子邮件

地址： disclosure@bauer-group.com

加密：PGP 密钥在代码仓库中（SECURITY.md）
语言：德语或英语

3. SECURITY.md

每个代码仓库包含一个 SECURITY.md，其中包含：

报告渠道
PGP 密钥（或链接）
支持的版本
响应时间

4.2.4 外部报告者流程

我们的期望

报告漏洞的安全研究人员应：

在修复方案可用之前不公开披露漏洞
不窃取或销毁任何数据
不进行拒绝服务攻击
给予合理的修复时间

我们的承诺

承诺	详情
确认收到	48 小时内
初步评估	7 天内
状态更新	至少每 14 天
协调漏洞披露	共同约定的日期，默认为报告后 90 天
致谢	在公告中署名致谢（应要求）
不追究法律责任	对遵守本政策的报告者不采取法律行动

披露时间线

第 0 天：  漏洞报告
第 2 天：  确认收到
第 7 天：  初步评估和严重程度分类
第 14 天： 向报告者提供状态更新
第 28 天： 向报告者提供状态更新
第 60 天： 补丁应已开发完成
第 90 天： 协调漏洞披露（默认截止日期）
           ├── 发布安全公告
           ├── 分配 CVE-ID
           ├── 发布补丁版本
           └── 在公告中致谢报告者（应要求）

例外情况

对于被积极利用的漏洞，披露时间线将被缩短。在此类情况下，补丁将立即提供，并触发 ENISA 报告义务（24 小时）。

4.2.5 接收报告的内部流程

外部漏洞报告
    │
    ├── 1. 确认收到（≤ 48 小时）
    │   └── 自动或由安全负责人确认
    │
    ├── 2. 分类（≤ 7 天）
    │   ├── 复现漏洞
    │   ├── 评估严重程度 (CVSS)
    │   ├── 识别受影响产品
    │   └── 检查：是否正在被积极利用？
    │       └── 是 → ENISA 报告义务 + 加速修复
    │
    ├── 3. 补丁开发
    │   ├── 开发修复方案（如适用在私有分支中）
    │   ├── 进行测试
    │   └── 安全审查
    │
    ├── 4. 协调漏洞披露
    │   ├── 与报告者协商时间
    │   ├── 准备安全公告
    │   ├── 申请 CVE-ID（通过 GitHub 或 MITRE）
    │   └── 准备补丁版本
    │
    └── 5. 发布
        ├── 发布安全公告
        ├── 发布补丁版本
        ├── 更新 SBOM
        ├── 通知用户
        └── 感谢并致谢报告者

4.2.6 安全港 (Safe Harbor)

BAUER GROUP 不会对以下安全研究人员采取法律行动：

善意行事
遵守本披露政策
未经授权不访问、复制或销毁数据
不通过拒绝服务损害服务
不危及受影响的第三方

4.2.7 合规参考

标准	覆盖范围
CRA Art. 13(6)	联系人 + CVD 政策
ISO/IEC 29147:2018	漏洞披露 (Vulnerability Disclosure)
ISO/IEC 30111:2019	漏洞处理流程 (Vulnerability Handling Processes)

9.3 机器可读格式

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

9.3 机器可读格式

9.3.1 目的

机器可读的合规数据可实现：

自动发布 到合规门户（→ 9.2）
CI/CD 管道中的程序化验证
跨所有产品的中央仪表板聚合
当局通过 API 访问 供市场监督当局使用

格式

JSON 是主要格式。文件名为 cra-statement.json，存储在产品仓库的 .compliance/ 目录中。

9.3.2 JSON Schema

CRA 合规声明遵循已定义的 JSON Schema：

json

{
  "$schema": "https://cra.app.bauer-group.com/schemas/cra-statement/v1.json",
  "schema_version": "1.0.0",

  "manufacturer": {
    "name": "BAUER GROUP",
    "address": "[完整邮寄地址]",
    "contact_email": "disclosure@bauer-group.com",
    "website": "[URL]"
  },

  "product": {
    "name": "[产品名称]",
    "version": "[X.Y.Z]",
    "type": "[software|container|firmware|embedded]",
    "description": "[简要描述]",
    "identifier": "[Package URL 或容器镜像引用]"
  },

  "cra_classification": {
    "category": "[standard|class_i|class_ii|critical]",
    "conformity_module": "[module_a|module_bc|module_h|eucc]",
    "notified_body": "[名称和识别号，或 null]"
  },

  "conformity": {
    "declaration_url": "[完整 DoC (Annex V) 的 URL]",
    "declaration_date": "[YYYY-MM-DD]",
    "ce_marking": true,
    "ce_marking_placement": "[about_dialog|documentation|website|container_label]",
    "last_assessment_date": "[YYYY-MM-DD]"
  },

  "security_documentation": {
    "sbom_url": "[SBOM (CycloneDX JSON) 的 URL]",
    "sbom_format": "CycloneDX",
    "sbom_version": "1.5",
    "security_policy_url": "[SECURITY.md 的 URL]",
    "user_info_url": "[用户信息 (Annex II) 的 URL]",
    "disclosure_contact": "disclosure@bauer-group.com"
  },

  "support_period": {
    "start_date": "[YYYY-MM-DD]",
    "end_date": "[YYYY-MM-DD]",
    "phase": "[active|security|eol]",
    "update_mechanism": "[auto|manual|notification]"
  },

  "harmonised_standards": [
    {
      "identifier": "[如 EN XXXXX:YYYY]",
      "description": "[描述]"
    }
  ],

  "metadata": {
    "generated_at": "[ISO 8601 时间戳]",
    "generator": "[工具或手动]",
    "statement_version": "[声明版本]"
  }
}

9.3.3 字段概览

必填字段

字段	类型	描述
`schema_version`	string	Schema 版本 (SemVer)
`manufacturer.name`	string	公司名称
`manufacturer.contact_email`	string	安全联系方式
`product.name`	string	产品名称
`product.version`	string	当前版本 (SemVer)
`product.type`	enum	`software`、`container`、`firmware`、`embedded`
`cra_classification.category`	enum	`standard`、`class_i`、`class_ii`、`critical`
`cra_classification.conformity_module`	enum	`module_a`、`module_bc`、`module_h`、`eucc`
`conformity.declaration_url`	string (URL)	完整 DoC 链接
`conformity.declaration_date`	string (日期)	DoC 日期
`conformity.ce_marking`	boolean	是否已贴附 CE 标志？
`security_documentation.sbom_url`	string (URL)	SBOM 链接
`security_documentation.security_policy_url`	string (URL)	SECURITY.md 链接
`security_documentation.disclosure_contact`	string	CVD 联系地址
`support_period.start_date`	string (日期)	支持开始
`support_period.end_date`	string (日期)	支持结束

可选字段

字段	类型	描述
`manufacturer.address`	string	邮寄地址
`manufacturer.website`	string (URL)	公司网站
`product.description`	string	简要描述
`product.identifier`	string	Package URL / 镜像引用
`cra_classification.notified_body`	string	公告机构（模块 B+C / H）
`conformity.ce_marking_placement`	string	CE 标志放置位置
`conformity.last_assessment_date`	string (日期)	上次合规评估日期
`security_documentation.user_info_url`	string (URL)	Annex II 信息链接
`support_period.phase`	enum	`active`、`security`、`eol`
`support_period.update_mechanism`	enum	`auto`、`manual`、`notification`
`harmonised_standards[]`	array	采用的标准
`metadata.*`	object	生成信息

9.3.4 验证

CI/CD 管道

应将 cra-statement.json 的验证集成到 CI/CD 管道中：

yaml

# 示例：GitHub Actions 步骤
- name: Validate CRA Statement
  run: |
    npx ajv validate \
      -s schemas/cra-statement-v1.schema.json \
      -d .compliance/cra-statement.json

验证规则

检查	严重性	描述
Schema 一致性	🔴 阻断	JSON 必须通过 Schema 验证
必填字段存在	🔴 阻断	所有必填字段必须已填写
URL 可达	🟡 警告	引用的 URL 应可访问
日期一致性	🟡 警告	`end_date` 必须晚于 `start_date`
版本匹配	🟡 警告	`product.version` 应匹配发布标签
支持未过期	🟡 警告	`end_date` 应在未来

9.3.5 完整示例

json

{
  "$schema": "https://cra.app.bauer-group.com/schemas/cra-statement/v1.json",
  "schema_version": "1.0.0",

  "manufacturer": {
    "name": "BAUER GROUP",
    "address": "Musterstraße 1, 12345 Musterstadt, Deutschland",
    "contact_email": "disclosure@bauer-group.com",
    "website": "https://www.bauer-group.com"
  },

  "product": {
    "name": "MinIO Gateway",
    "version": "2.1.0",
    "type": "container",
    "description": "S3 兼容对象存储网关",
    "identifier": "ghcr.io/bauer-group/minio-gateway:2.1.0"
  },

  "cra_classification": {
    "category": "standard",
    "conformity_module": "module_a",
    "notified_body": null
  },

  "conformity": {
    "declaration_url": "https://cra.app.bauer-group.com/products/minio-gateway/doc",
    "declaration_date": "2026-03-01",
    "ce_marking": true,
    "ce_marking_placement": "about_dialog",
    "last_assessment_date": "2026-03-01"
  },

  "security_documentation": {
    "sbom_url": "https://github.com/bauer-group/minio-gateway/releases/download/v2.1.0/sbom.cdx.json",
    "sbom_format": "CycloneDX",
    "sbom_version": "1.5",
    "security_policy_url": "https://github.com/bauer-group/minio-gateway/blob/main/SECURITY.md",
    "user_info_url": "https://cra.app.bauer-group.com/products/minio-gateway/user-info",
    "disclosure_contact": "disclosure@bauer-group.com"
  },

  "support_period": {
    "start_date": "2026-03-01",
    "end_date": "2031-03-01",
    "phase": "active",
    "update_mechanism": "auto"
  },

  "harmonised_standards": [
    {
      "identifier": "CycloneDX v1.5",
      "description": "SBOM 格式 (OWASP)"
    },
    {
      "identifier": "ISO/IEC 29147:2018",
      "description": "漏洞披露"
    }
  ],

  "metadata": {
    "generated_at": "2026-03-01T10:00:00Z",
    "generator": "manual",
    "statement_version": "1.0.0"
  }
}

9.3.6 Schema 版本控制

字段	规则
`schema_version`	遵循 SemVer (MAJOR.MINOR.PATCH)
MAJOR	不兼容的更改（新的必填字段、结构更改）
MINOR	向后兼容的扩展（新的可选字段）
PATCH	描述或验证规则的更正

兼容性

当 Schema 进行 MAJOR 更新时，所有现有的 cra-statement.json 文件必须进行迁移。迁移指南将在本手册中记录。

9.3.7 交叉引用

主题	链接
仓库结构	9.2 发布策略
更新流程	9.4 维护与更新
SBOM 格式	2.2 格式规范
可填写模板	A.9 CRA 合规声明

6.1 产品描述

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

6.1 产品描述

6.1.1 模板：根据 CRA Annex VII 编制的产品描述

使用说明

本模板针对每个与 CRA 相关的产品单独填写。请复制此模板并创建产品特定版本。

1. 产品标识

字段	值
产品名称	[产品名称]
产品类型	[软件 / 固件 / 容器镜像 / 嵌入式系统]
当前版本	[版本号]
制造商	BAUER GROUP
联系方式	disclosure@bauer-group.com
创建日期	[日期]
最后更新	[日期]

2. 预期用途 (Intended Use)

描述： [描述产品的预期用途、目标受众和预期运行环境。]

使用环境：

[例如：云基础设施、本地部署、嵌入式设备、IoT]
[操作系统/平台]
[是否需要网络连接：是/否]

3. CRA 产品分类

标准	评估结果
CRA 类别	[默认 / Class I / Class II / 关键]
依据	[为何选择此分类]
Annex III/IV 参考	[如适用]
合规评估 (Conformity Assessment)	[Module A / Module B+C / Module H / EUCC]

4. 技术描述

架构概述： [从高层次描述软件架构]

技术栈：

组件	技术	版本
运行时	[例如：Node.js 20、.NET 8、Python 3.12]	[版本]
框架	[例如：Express、ASP.NET、Django]	[版本]
数据库	[例如：PostgreSQL、SQLite]	[版本]
容器	[例如：Alpine 3.19、Distroless]	[版本]

接口：

接口	类型	描述
[例如：REST API]	[HTTP/HTTPS]	[用途]
[例如：MQTT]	[TCP]	[用途]
[例如：USB]	[物理]	[用途]

5. 安全功能

功能	实现方式	状态
身份认证 (Authentication)	[方法]	[已实现 / 计划中]
授权 (Authorisation)	[方法]	[已实现 / 计划中]
传输加密	[TLS 1.3]	[已实现 / 计划中]
数据加密	[AES-256]	[已实现 / 计划中]
安全启动 (Secure Boot)	[方法]	[已实现 / 不适用]
完整性保护	[Cosign / 校验和]	[已实现 / 计划中]

6. 依赖项

SBOM 参考： [链接至当前 SBOM]

关键第三方组件：

组件	版本	许可证	评估结果
[名称]	[版本]	[许可证]	[A/B/C]

7. 支持期限 (Support Period)

字段	值
支持开始日期	[投放市场日期]
支持结束日期	[日期 — 至少5年]
更新频率	[例如：每月、按需]
EOL 通知	[用户将如何收到通知]

8. 合规性

文件	状态	链接
风险评估	[已完成 / 进行中]	[链接]
EU 符合性声明	[已签署 / 进行中]	[链接]
SBOM	[已生成]	[链接]
安全测试	[已执行 / 计划中]	[链接]

A.9 CRA 合规声明

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

A.9 CRA 合规声明

A.9.1 模板：公开 CRA 合规声明

此模板作为产品特定公开 CRA 合规声明的基础。它将所有 CRA 相关信息汇总在一个页面上，并链接到相关详细文档。

使用说明

此声明是补充性的公开展示。它不能替代根据 Annex V 具有法律约束力的欧盟符合性声明（→ A.7 欧盟合规声明）。

方括号 [...] 中的占位符应替换为实际值。

A.9.2 CRA 合规声明

[产品名称] — 版本 [X.Y.Z]

日期： [YYYY-MM-DD] | 制造商： BAUER GROUP

1. 产品标识

字段	值
产品名称	[完整产品名称]
版本	[X.Y.Z]
产品类型	[软件 / 容器镜像 / 固件 / 嵌入式系统]
CRA 产品类别	[标准 / 第一类 / 第二类 / 关键]
唯一标识符	[Package URL、容器镜像引用或其他 ID]
简要描述	[产品用途的一行描述]

2. 制造商

字段	值
公司	BAUER GROUP
地址	[完整邮寄地址]
安全联系方式	disclosure@bauer-group.com
网站	[URL]
授权代表（如适用）	[姓名、地址] 或"不适用"

3. 合规状态

字段	值
合规评估程序	[模块 A / 模块 B+C / 模块 H / EUCC]
欧盟符合性声明 (Annex V)	[完整 DoC 的 URL]
CE 标志	[是 — 贴附在：关于对话框 / 文档 / 网站 / 容器标签]
公告机构（如适用）	[名称、识别号] 或"不适用（模块 A）"
上次评估日期	[YYYY-MM-DD]

4. 安全文档

文档	可用	链接
SBOM (CycloneDX JSON)	[是 / 否]	[GitHub Release 中 SBOM 的 URL]
漏洞披露政策	[是]	[SECURITY.md 的 URL]
用户信息 (Annex II)	[是]	[URL]
技术文档 (Annex VII)	应要求提供	[联系邮箱]

5. 支持期限

字段	值
支持开始	[YYYY-MM-DD]
支持结束	[YYYY-MM-DD — 至少 5 年]
当前阶段	[主动支持 / 安全支持 / 生命周期结束]
更新机制	[自动 / 手动 / 通知]

6. 协调标准和技术规范

标准 / 规范	描述
[如 EN XXXXX:YYYY]	[描述]
CycloneDX v1.5	SBOM 格式 (OWASP)
ISO/IEC 29147:2018	漏洞披露
[其他]	[描述]

7. 漏洞管理

字段	值
漏洞披露政策	[SECURITY.md 的 URL]
报告联系方式	disclosure@bauer-group.com
CVE 监控	[自动化（每日） / 手动]
补丁 SLA	[关键：48小时 / 高：7天 / 中：30天 / 低：90天]
ENISA 报告义务	[是，根据 Art. 14 CRA]

法律说明

此 CRA 合规声明是用于透明目的的摘要展示。根据法规 (EU) 2024/2847 Annex V 具有法律约束力的欧盟符合性声明可通过上述链接获取。

欧盟符合性声明中的虚假陈述可能导致处罚（Art. 64 CRA：最高 1500 万欧元或全球年营业额的 2.5%）。

A.9.3 机器可读格式

与人类可读版本并行，此声明作为 cra-statement.json 在产品仓库中维护：

→ 9.3 机器可读格式

→ 9.2 发布策略

A.9.4 更新

此声明在以下情况下更新：

新的主要/次要版本发布
CRA 产品类别变更
协调标准变更
支持期限变更

详细维护流程：→ 9.4 维护与更新

A.3 ENISA 早期预警 (24h)

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

A.3 ENISA 早期预警 (24h)

时间紧迫

此通知必须在得知主动利用漏洞或严重安全事件后 24小时 内发送给 ENISA / 主管国家 CSIRT。

A.3.1 模板：根据 Art. 14(2)(a) CRA 的预警

1. 制造商标识

字段	值
公司	BAUER GROUP
地址	[完整邮寄地址]
联系人	[姓名, 职务]
电子邮件	disclosure@bauer-group.com
电话	[电话号码]
通知日期	[YYYY-MM-DD HH:MM UTC]
通知参考号	[EW-YYYY-NNN]

2. 通知类型

[ ] 主动利用漏洞 (Art. 14(1))
[ ] 严重安全事件 (Art. 14(3))

3. 受影响产品

字段	值
产品名称	[名称]
产品类型	[软件 / 固件 / 容器镜像]
受影响版本	[v1.0.0 -- v1.3.2]
CRA 产品类别	[标准 / Class I / Class II / 关键]
估计用户数量	[数量 / 估计值]
可获得产品的成员国	[产品已投放的欧盟成员国列表]

4. 漏洞/事件

字段	值
CVE ID	[CVE-YYYY-XXXXX 或 "尚未分配"]
CVSS 评分	[X.X]
严重性	[CRITICAL / HIGH]
描述	[漏洞/事件的简要描述]
攻击向量	[网络 / 本地 / 物理]
确认主动利用	[是 / 疑似 / 未知]
检测来源	[内部检测 / 外部报告 / 威胁情报 / CVE 数据库]

5. 初步影响评估

字段	值
保密性	[高 / 中 / 低 / 无]
完整性	[高 / 中 / 低 / 无]
可用性	[高 / 中 / 低 / 无]
涉及个人数据	[是 / 否 / 不确定]

6. 即时措施

措施	状态	时间
[例如已发布临时解决方案]	[已实施 / 计划中]	[时间戳]
[例如补丁开发中]	[已实施 / 计划中]	[预计完成时间]
[例如用户通知]	[已实施 / 计划中]	[时间戳]

7. 后续步骤

[ ] 详细分析（72小时内）
[ ] 补丁开发（预计完成时间：[日期]）
[ ] 用户通知（预计完成时间：[日期]）
[ ] 向 ENISA 发送后续通知（<=72小时）

注意： 此预警将在 72 小时内由详细的漏洞通知予以补充。

A.5 ENISA 最终报告 (14天)

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

A.5 ENISA 最终报告 (14天)

A.5.1 模板：根据 Art. 14(2)(c) CRA 的最终报告

1. 先前通知参考

字段	值
预警参考号	[EW-YYYY-NNN] 日期 [日期]
通知参考号	[SM-YYYY-NNN] 日期 [日期]
最终报告参考号	[FR-YYYY-NNN]
日期	[YYYY-MM-DD]

2. 制造商标识

字段	值
公司	BAUER GROUP
联系人	[姓名, 职务]
电子邮件	disclosure@bauer-group.com

3. 摘要

[用 3-5 句话简要概述事件]

4. 完整时间线

日期/时间	事件
[YYYY-MM-DD HH:MM]	漏洞/事件首次检测到
[YYYY-MM-DD HH:MM]	分类完成，严重性已确认
[YYYY-MM-DD HH:MM]	ENISA 预警已发送
[YYYY-MM-DD HH:MM]	即时措施已实施
[YYYY-MM-DD HH:MM]	ENISA 通知已发送
[YYYY-MM-DD HH:MM]	补丁已开发并测试
[YYYY-MM-DD HH:MM]	补丁已发布（版本 X.Y.Z）
[YYYY-MM-DD HH:MM]	用户已通知
[YYYY-MM-DD HH:MM]	事件评估为已解决

5. 根本原因分析

根本原因： [漏洞根本原因的详细技术分析]

漏洞引入方式： [例如编码错误, 第三方组件, 配置错误, 设计缺陷]

漏洞引入时间： [引入时的版本/日期]

为何未更早发现： [例如未被自动扫描覆盖, 新型攻击向量]

6. 恶意行为者信息 (Art. 14(2)(c)(ii))

字段	值
已识别恶意行为者	[是 / 否 / 疑似]
攻击类型	[定向攻击 / 大规模利用 / 未知]
已知威胁行为者/组织	[如已知，例如 APT 组织、攻击活动名称]
入侵指标 (IoC)	[IP 地址, 哈希值, 域名 -- 如可用]
与主管部门合作	[是（哪些） / 否 / 不适用]

7. 受影响产品（最终）

产品	受影响版本	修复版本	用户/设备数
[名称]	[v1.0.0 -- v1.3.2]	[v1.3.3]	[数量]

8. 已采取的措施（完整）

措施	日期	结果
即时遏制	[日期]	[描述]
补丁开发	[日期]	[版本 X.Y.Z]
安全审查	[日期]	[结果]
补丁发布	[日期]	[可通过以下方式获取：Release, Registry]
SBOM 已更新	[日期]	[包含修复的新 SBOM]
用户通知	[日期]	[渠道：Advisory, 电子邮件]
增强监控	[日期]	[描述]

9. 残余风险

风险	评估	缓解措施
[例如并非所有用户已更新]	[中]	[计划再次通知]
[例如相关代码中存在类似漏洞]	[低]	[已进行主动审查]

10. 经验教训

做得好的方面：

[例如通过 CVE Monitor 快速检测]
[例如 24小时内提供补丁]

可改进的方面：

[例如扩展受影响区域的测试覆盖率]
[例如加快用户通知速度]

11. 预防未来事件的措施

措施	负责人	截止日期
[例如创建额外的 SAST 规则]	[团队]	[日期]
[例如收紧依赖策略]	[团队]	[日期]
[例如扩展监控规则]	[团队]	[日期]
[例如安全编码培训]	[团队]	[日期]

12. 声明

我们特此确认，本最终报告中包含的信息据我们所知是正确和完整的。

字段	值
姓名	[负责人姓名]
职务	[职务]
日期	[YYYY-MM-DD]
签名	_________________________

A.4 ENISA 通知 (72h)

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

A.4 ENISA 通知 (72h)

截止期限

此通知必须在得知后 72小时 内发送给 ENISA / 主管国家 CSIRT。它是对预警（24小时）的补充。

A.4.1 模板：根据 Art. 14(2)(b) CRA 的漏洞通知

1. 预警参考

字段	值
预警参考号	[EW-YYYY-NNN]
预警日期	[YYYY-MM-DD HH:MM UTC]
通知参考号	[SM-YYYY-NNN]
通知日期	[YYYY-MM-DD HH:MM UTC]

2. 制造商标识

字段	值
公司	BAUER GROUP
联系人	[姓名, 职务]
电子邮件	disclosure@bauer-group.com
电话	[电话号码]

3. 受影响产品（更新）

字段	值
产品名称	[名称]
产品类型	[软件 / 固件 / 容器镜像]
所有受影响版本	[完整版本列表]
未受影响版本	[未受影响的版本]
修复版本	[包含修复的版本，如已发布]
估计用户/设备数量	[更新后的估计值]
受影响平台	[操作系统, 架构, 部署类型]

4. 详细漏洞描述

字段	值
CVE ID	[CVE-YYYY-XXXXX]
CWE 分类	[CWE-XXX: 描述]
CVSS v3.1 向量	[例如 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H]
CVSS 评分	[X.X]
严重性	[CRITICAL / HIGH]

技术描述：

[漏洞的详细技术描述，包括：

受影响的组件/功能
漏洞类型（缓冲区溢出, 注入等）
攻击向量和前提条件
成功利用后的影响]

利用场景：

[已知或可能的利用场景描述]

5. 主动利用

字段	值
确认主动利用	[是 / 否 / 疑似]
利用类型	[例如定向攻击, 大规模利用]
信息来源	[威胁情报, 客户报告等]
是否列入 KEV 目录	[是 / 否]
已知威胁行为者	[如已知]

6. 影响分析（更新）

影响	评估	详情
保密性	[高 / 中 / 低]	[受影响的数据]
完整性	[高 / 中 / 低]	[可能的篡改]
可用性	[高 / 中 / 低]	[可能的中断]
个人数据	[是 / 否]	[数据类型]
人身安全	[是 / 否]	[如为固件/IoT]

7. 已采取的措施

措施	状态	日期
漏洞已分析	已完成	[日期]
已提供临时解决方案	[已完成/进行中/未开始]	[日期]
补丁已开发	[已完成/进行中/未开始]	[日期]
补丁已测试	[已完成/进行中/未开始]	[日期]
补丁已发布	[已完成/进行中/未开始]	[日期]
已通知用户	[已完成/进行中/未开始]	[日期]
SBOM 已更新	[已完成/进行中/未开始]	[日期]

8. 对用户的建议措施

[面向受影响用户的明确说明，例如：

更新到版本 X.Y.Z
在补丁可用前的临时解决方案
配置变更]

9. 后续步骤

[ ] 最终报告（<=14天，[计划日期]）
[ ] 后续补丁（如有必要）
[ ] 利用活动监控

注意： 此通知将在 14 天内由最终报告予以补充。

A.7 EU 符合性声明

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

A.7 EU 符合性声明

A.7.1 模板：根据 Regulation (EU) 2024/2847（网络韧性法案）Annex V

A.7.2 欧盟合规声明

编号 [DoC-YYYY-NNN]

1. 含有数字元素的产品 (Product with digital elements)：

字段	值
产品名称	[完整产品名称]
产品类型	[软件 / 固件 / 容器镜像 / 嵌入式系统]
版本	[版本号]
型号/变体	[如适用]
批次/序列号	[如适用]

2. 制造商及其授权代表（如适用）的名称和地址：

字段	值
公司	BAUER GROUP
地址	[完整邮寄地址]
电子邮件	disclosure@bauer-group.com
网站	[URL]
授权代表（如适用）	[姓名, 地址] 或 "不适用"

3. 本合规声明由制造商自行负责签发。

4. 声明对象：

[作为本声明对象的产品描述，包括用于可追溯性的标识特征]

5. 上述声明对象符合相关的欧盟统一立法 (Union harmonisation legislation)：

法规	参考
网络韧性法案 (Cyber Resilience Act)	Regulation (EU) 2024/2847
[其他，如适用]	[参考]

6. 所使用的相关统一标准 (harmonised standards) 或据以声明合规的其他技术规范的参考：

标准/规范	描述
[例如 EN XXXXX:YYYY]	[描述，如已发布]
CycloneDX v1.5	SBOM 格式 (OWASP)
ISO/IEC 29147:2018	漏洞披露 (Vulnerability Disclosure)
[其他]	[描述]

7. 如适用：公告机构 (Notified Body) [名称, 识别号] 执行了 [参与描述] 并签发了证书 [参考号]。

[在 Module A -- 内部控制下不适用]

8. 附加信息：

字段	值
CRA 产品类别	[标准 / Class I / Class II / 关键]
合规性评估程序	[Module A / Module B+C / Module H / EUCC]
SBOM 可用	[是 -- CycloneDX JSON]
漏洞报告	disclosure@bauer-group.com / GitHub Security Advisories

9. 支持期限：

字段	值
支持开始	[投放市场日期]
支持结束	[日期 -- 自投放市场起至少 5 年]
支持类型	[主动支持 / 安全支持]

签署代表：

BAUER GROUP

字段	值
地点	[地点]
日期	[YYYY-MM-DD]
姓名	[名和姓]
职务	[职务/头衔]
签名	_________________________

法律约束力

本合规声明为具有法律约束力的文件。签署即表示制造商确认产品符合网络韧性法案 (Cyber Resilience Act) 的要求。虚假声明可能导致制裁（Art. 64 CRA：最高 1500 万欧元或全球年营业额的 2.5%）。

A.8 产品安全信息

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

A.8 产品安全信息

A.8.1 模板：根据 Annex II CRA 的面向用户安全信息

A.8.2 安全信息：[产品名称]

版本： [X.Y.Z] 日期： [YYYY-MM-DD] 制造商： BAUER GROUP

1. 制造商联系信息

字段	值
公司	BAUER GROUP
地址	[完整邮寄地址]
电子邮件（一般）	[电子邮件地址]
电子邮件（安全）	disclosure@bauer-group.com
网站	[URL]

2. 产品标识

字段	值
产品名称	[名称]
版本	[X.Y.Z]
产品类型	[软件 / 固件 / 容器镜像]
预期用途	[简要描述]
安全环境	[预期部署环境，例如内部网、云、工业环境]

3. 安全相关属性

本产品提供以下安全功能：

[ ] 通信加密 (TLS)
[ ] 用户认证
[ ] 基于角色的访问控制
[ ] 自动安全更新
[ ] 安全启动 (Secure Boot)（固件）
[ ] 完整性保护（数字签名）

4. 可能导致网络安全风险的可预见情况 (Annex II 编号 5)

[与产品使用相关的、已知或合理可预见的、可能导致重大网络安全风险的情况：]

[例如在公共网络上不使用防火墙运行]
[例如用户使用过时的 TLS 版本]
[例如在未分段的 OT 网络中运行]

5. 欧盟合规声明 (Annex II 编号 6)

字段	值
欧盟合规声明的互联网地址	[合规声明的 URL，如以电子方式提供]

6. 安全安装与配置

[安全初始设置的分步说明]

推荐安全设置：

[例如更改默认密码]
[例如启用 TLS]
[例如配置最小权限]
[例如启用自动更新]

7. 修改对数据安全的影响 (Annex II 编号 8(b))

[描述对产品的修改（例如配置变更、扩展、集成第三方组件）如何影响已存储或已处理数据的安全性]

8. 安全更新

字段	值
自动更新	[是 / 否 / 可配置]
更新渠道	[例如 GitHub Releases, Container Registry, OTA]
更新验证	[例如 Cosign 签名, SHA256]
更新通知	[例如 GitHub Watch, 电子邮件通讯]

| 禁用自动更新 | [描述如何禁用自动安全更新，包括对安全的影响] |

如何更新： [执行更新的说明]

9. 支持期限

字段	值
支持至	[日期 -- 至少 5 年]
安全更新至	[日期]
计划的生命周期结束	[日期或 "尚未确定"]

支持期限届满后，将不再提供安全更新。用户将及时收到生命周期结束的通知。

10. 报告漏洞

如果您在本产品中发现安全漏洞：

首选方式： 在对应仓库中提交 GitHub Security Advisory
电子邮件： disclosure@bauer-group.com
详情： 参见漏洞披露政策

请勿公开披露漏洞，直到修复可用为止。

11. 安全退役 (Annex II 编号 8(d))

如何安全退役/卸载本产品：

[例如通过"重置数据"功能删除所有存储的数据]
[例如撤销/轮换加密密钥]
[例如删除与云服务的注册]
[例如从私有 Registry 中删除容器镜像]

注意

请确保在退役前备份所有个人和业务关键数据，随后永久删除。

12. 产品处理的数据 (Annex II)

数据类别	描述	个人数据
[例如遥测数据]	[描述]	[是 / 否]
[例如认证数据]	[描述]	[是]
[例如配置数据]	[描述]	[否]
[例如日志数据]	[描述]	[是 / 否]

13. 与其他产品的集成 (Annex II 编号 8(f))

[关于本产品与其他含有数字元素的产品安全集成的信息，包括：]

[例如支持的 API 和接口]
[例如推荐的网络分段]
[例如所需的防火墙规则]
[例如对外部服务的依赖]

14. 已知限制

[已知的安全相关限制列表，例如：]

[例如产品不适用于安全关键基础设施]
[例如加密需要用户主动配置]

15. 更多文档

文档	链接
产品文档	[链接]
SBOM（软件物料清单）	[链接至 Release 资产]
安全公告订阅	[链接]
变更日志	[链接]

A.2 漏洞报告（用户通知）

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

A.2 漏洞报告（用户通知）

A.2.1 模板：面向用户的安全公告

安全公告：[产品名称] -- [CVE-ID]

发布日期： [YYYY-MM-DD] 最后更新： [YYYY-MM-DD] 严重性： [CRITICAL / HIGH / MEDIUM] CVE： [CVE-YYYY-XXXXX]

摘要

[用 1-2 句话描述漏洞及其影响]

受影响的版本

产品	受影响版本	修复版本
[名称]	[< v1.3.3]	[v1.3.3]

漏洞

描述： [面向最终用户的漏洞清晰描述]

影响： [攻击者可以做什么？哪些数据/功能面临风险？]

严重性：

CVSS 评分：[X.X]
攻击向量：[网络 / 本地 / 物理]

建议措施

立即措施：

更新到版本 [X.Y.Z]

容器用户：

bash

docker pull ghcr.io/bauer-group/[image]:[new-tag]

固件用户： [具体的更新说明]

临时解决方案（如无法立即更新）： [临时措施描述]

时间线

日期	事件
[日期]	漏洞已识别
[日期]	补丁已开发并测试
[日期]	补丁已发布 (v[X.Y.Z])
[日期]	安全公告已发布

联系方式

如有关于此漏洞的疑问：disclosure@bauer-group.com

致谢

[如果漏洞由外部研究人员报告且他们希望被致谢]

3.5 漏洞处理要求 (Annex I 第二部分)

BAUER GROUP — Mon, 23 Mar 2026 14:15:30 GMT

3.5 漏洞处理要求 (Annex I 第二部分)

3.5.1 概述

CRA 的 Annex I Part II 定义了 8 项漏洞处理要求，制造商必须在含有数字元素的产品的整个支持期内履行这些要求。Part I 规定了产品本身的安全属性（基本安全要求），而 Part II 则涉及处理漏洞的组织和程序义务。

法律依据

Annex I Part II CRA: 漏洞处理要求。含有数字元素的产品的制造商应遵守以下要求，以在支持期内有效处理产品的漏洞。

3.5.2 No. 1 — 识别和记录漏洞及组件

要求： 制造商应识别和记录产品中包含的漏洞和组件，包括以常用的、机器可读的格式编制软件物料清单 (Software Bill of Materials, SBOM)，至少涵盖产品的顶层依赖项。

BAUER GROUP 的实施：

每次发布时以 CycloneDX 格式自动生成 SBOM
完整覆盖所有直接和传递依赖项
每日 CVE 监控，将所有活跃产品的 SBOM 与 NVD、GitHub Advisory Database 和 OSV 进行比对
CI/CD 流水线中的多引擎安全扫描（Trivy、Grype、Snyk）
Dependabot 自动检测过时或存在漏洞的依赖项
所有产品及其组件结构的集中清单

证据： 每次发布的 SBOM (CycloneDX JSON)、CVE 扫描报告、依赖项审计日志、组件清单

3.5.3 No. 2 — 及时处理和修复漏洞

要求： 制造商应及时处理和修复漏洞，包括提供安全更新。在技术可行的情况下，安全更新应与功能更新分开提供。

BAUER GROUP 的实施：

基于 SLA 的补丁管理流程，定义了明确的响应时间：
- P0（Critical，正在被积极利用）：24 小时内热修复
- P1（Critical）：48 小时内热修复
- P2（High）：7 天内补丁发布
- P3（Medium）：30 天内次版本发布
在发布流程中将安全更新与功能更新分离
发布前安全门 (Pre-Release Security Gate)：不发布存在已知 Critical/High CVE 的版本
通过 Dependabot 自动更新依赖项并自动创建拉取请求

证据： 带时间戳的补丁日志、带安全修复标签的发布说明、SLA 合规报告

3.5.4 No. 3 — 有效且定期的测试和审查

要求： 制造商应对含有数字元素的产品的安全性进行有效且定期的测试和审查。

BAUER GROUP 的实施：

自动化测试： 每个 CI/CD 流水线中的 SAST、DAST 和 SCA
容器扫描： 在构建时和定时任务中对所有容器镜像进行 Trivy 扫描
依赖项扫描： 每日基于 SBOM 的 CVE 扫描
定期审查： 每季度对每个产品进行安全审查
渗透测试 (Penetration Testing)： 关键产品每年一次，重大修改时补充测试
风险评估： 针对每个新漏洞进行特定上下文的风险评估

证据： CI/CD 扫描结果、安全审查记录、渗透测试报告、风险评估报告

3.5.5 No. 4 — 已修复漏洞的公开披露

要求： 安全更新发布后，制造商应公开披露已修复漏洞的信息，包括漏洞描述、允许用户识别受影响产品的信息、影响、严重程度和修复措施。如可用，应分配 CVE 标识符。

BAUER GROUP 的实施：

通过 GitHub Security Advisories 发布安全通告 (Security Advisories)
每个已修复的漏洞包括：
- CVE ID： 通过 GitHub CNA 或 MITRE 分配
- 描述： 对漏洞和受影响版本的清晰说明
- 严重程度： CVSS v3.1/v4.0 评分和等级
- 受影响的产品： 精确的版本信息
- 修复措施： 引用安全更新和建议操作
发布说明包含专门的安全部分
按照披露策略进行协调披露 (Coordinated Disclosure)

证据： GitHub Security Advisories、发布说明、NVD/OSV 中的 CVE 条目

3.5.6 No. 5 — 协调漏洞披露策略

要求： 制造商应制定并执行协调漏洞披露策略 (Coordinated Vulnerability Disclosure Policy)。

BAUER GROUP 的实施：

符合 ISO/IEC 29147:2018 的全面披露策略
定义的报告渠道：
- GitHub Security Advisories（首选）
- 专用电子邮件地址 (security@bauer-group.com)
- 每个仓库中的 SECURITY.md
对收到的报告有约束力的响应时间（48 小时内初始回复）
协调披露期（默认 90 天）
安全港条款 (Safe Harbor)，保护善意的安全研究人员
致谢计划（安全名人堂 / Security Hall of Fame）

证据： 披露策略（已发布）、仓库中的 SECURITY.md、报告追踪日志

3.5.7 No. 6 — 促进漏洞信息共享

要求： 制造商应采取措施促进其产品及产品中包含的第三方组件的潜在漏洞信息共享，包括提供用于报告漏洞的联系地址。

BAUER GROUP 的实施：

联系点： 每个产品和仓库中的专用安全联系地址
上游沟通： 主动向上游维护者报告所使用的开源组件中的漏洞
ENISA 报告流程： 按照报告流程向 ENISA 结构化报告正在被积极利用的漏洞
内部沟通： 通过定义的渠道共享安全相关信息（沟通计划）
行业合作： 参与相关的信息共享计划（ISAC、安全社区）

证据： 联系点文档、上游报告日志、ENISA 报告、沟通记录

3.5.8 No. 7 — 安全分发更新的机制

要求： 制造商应提供机制以安全分发含有数字元素的产品的更新，确保及时部署。安全补丁和更新应通过可信渠道分发。

BAUER GROUP 的实施：

签名制品： 所有发布制品均使用 Cosign 签名（签名）
可信渠道：
- 容器镜像通过签名的注册表 (GHCR)
- 二进制文件通过签名的 GitHub Releases
- 固件更新通过安全的 OTA 渠道
完整性验证： 使用 Cosign verify 的验证流程
更新机制： 自动和手动更新路径已记录（更新机制）
可用性： 通过冗余基础设施交付更新
回滚： 更新失败时可回退到先前版本

证据： 签名日志、更新架构文档、验证指南、回滚测试记录

3.5.9 No. 8 — 及时且免费提供安全补丁

要求： 制造商应确保安全补丁及时且免费发放，并附带通告消息，向用户提供相关信息，包括可能需要采取的操作。

BAUER GROUP 的实施：

免费： 在整个支持期内所有安全补丁均免费提供
及时： 按照补丁管理的 SLA 要求
通告消息： 每个安全更新都附带以下信息：
- 已修复漏洞的描述
- 严重程度 (CVSS 评分)
- 受影响的版本和升级路径
- 建议用户操作（临时方案、配置变更）
- 修复时间表（如有延迟）
通知： 主动通知用户可用的安全更新
不捆绑： 安全更新不包含强制性的功能变更

重要提示

根据 Art. 10(16) CRA，安全补丁必须在整个支持期内免费提供。将安全补丁与付费维护合同绑定是不允许的。

证据： 带安全部分的发布说明、通告消息、下载统计、用户通知日志

3.5.10 合规矩阵

编号	要求	实施状态	证据位置	参考
1	识别漏洞和组件 (SBOM)	✅	SBOM 归档、CVE 报告	SBOM、CVE 监控
2	及时修复漏洞	✅	补丁日志、发布说明	补丁管理
3	有效且定期的测试	✅	CI/CD 报告、渗透测试结果	CVE 监控
4	公开披露（CVE ID、严重程度）	✅	GitHub Advisories、NVD	披露策略
5	协调漏洞披露策略	✅	披露策略、SECURITY.md	披露策略
6	促进漏洞信息共享	✅	联系点、ENISA 报告	ENISA 报告
7	安全分发更新	✅	签名日志、更新架构	更新机制、签名
8	及时且免费提供补丁	✅	发布说明、通告	补丁管理

第9章：产品合规发布

BAUER GROUP — Mon, 23 Mar 2026 13:07:11 GMT

第9章：产品合规发布

概述

CRA 要求制造商公开提供全面的合规信息。欧盟符合性声明、用户信息、支持期限和漏洞披露政策必须对客户、当局和公众公开访问。

本章描述了每个软件产品如何将其 CRA 合规制品作为统一的公开合规声明进行发布——以及如何在所有产品中标准化和自动化此流程。

法律依据

Art. 13 CRA： "制造商应确保产品附带 Annex II 中规定的信息。"

Art. 28(3) CRA： "制造商可以按照 Annex VI 在产品中附上简化的欧盟符合性声明，前提是完整版本可在网上获取。"

Art. 29 CRA： CE 标志应在产品投放市场前贴附在产品或其随附文件上。

为什么需要公开合规页面？

原因	说明
法规义务	Art. 13 和 Art. 28 CRA 要求公开获取符合性声明和用户信息
市场监督	当局必须能够检查合规信息（Art. 52–58 CRA）
客户信任	B2B 客户期望可验证的合规文档
市场优势	主动合规体现专业成熟度
标准化	所有产品统一格式，简化维护和审计

与第7章的区别

方面	第7章：合规评估	第9章：合规发布
重点	如何评估合规性？	如何公开展示？
输出	欧盟符合性声明 (Annex V)	公开的产品合规页面
受众	制造商、公告机构	客户、当局、公众
时间点	投放市场前	产品整个生命周期

其他法规提示

AI 产品提示

包含 AI 组件的产品另外受 EU AI Act（法规 (EU) 2024/1689）约束。AI Act 合规在单独的文档中处理。CRA 合规声明（→ 9.1）仅涵盖 CRA 要求。

章节结构

节	主题	描述
9.1	CRA 合规声明	产品特定合规声明的必要内容、结构和示例
9.2	发布策略	双重概念：代码仓库作为唯一事实来源，网站作为公开展示
9.3	机器可读格式	`cra-statement.json` 的 JSON Schema 和 CI/CD 验证
9.4	维护与更新	更新触发条件、审查周期、职责

→ 可填写模板：A.9 CRA 合规声明

9.4 维护与更新

BAUER GROUP — Mon, 23 Mar 2026 13:07:11 GMT

9.4 维护与更新

9.4.1 更新触发条件

CRA 合规声明必须在以下事件发生时更新：

触发条件	受影响字段	期限	优先级
新的主要/次要版本发布	`product.version`、`conformity.*`、`sbom_url`	投放市场前	🔴 高
CRA 产品类别变更	`cra_classification.*`	立即	🔴 高
新的/变更的协调标准	`harmonised_standards[]`	30 天内	🟡 中
新的 CRA 授权/实施法案	取决于内容	30 天内	🟡 中
支持期限变更	`support_period.*`	立即	🔴 高
合规模块变更	`cra_classification.conformity_module`	下次发布前	🟡 中
制造商数据变更	`manufacturer.*`	14 天内	🟢 低
新的漏洞披露政策	`security_documentation.*`	14 天内	🟡 中

法律依据

Art. 10(12) CRA： "制造商应确保产品 [...] 在整个支持期内符合基本要求。"

这意味着有义务保持公开合规展示的最新状态。

9.4.2 审查周期

定期审查

周期	范围	负责人
每次发布	所有字段的完整审查	产品负责人
每半年	即使没有发布也进行主动审查	安全负责人
每年	与当前 CRA 状态（授权法案）对齐	合规官

审查清单

[ ] 所有必填字段已填写且最新？
[ ] 引用的 URL 可访问？
[ ] 支持期限仍然有效？
[ ] DoC 日期最新（新版本发布时）？
[ ] SBOM 链接指向当前版本？
[ ] 协调标准仍然适用？
[ ] 产品类别仍然正确？

9.4.3 版本控制

CRA 合规声明与产品代码一起版本控制：

方面	规则
存储位置	产品仓库中的 `.compliance/cra-statement.json`
版本控制	Git 历史 = 审计跟踪
变更日志	每次内容更改时递增 `metadata.statement_version`
发布关联	声明随发布标签冻结

示例工作流

text

1. 开发人员更新 .compliance/cra-statement.json
2. Pull Request / 代码审查
3. CI 验证 JSON Schema（→ 9.3）
4. 合并到 main
5. 发布标签 → 声明自动发布（→ 9.2）

9.4.4 职责

角色	任务	时间
产品负责人	内容准确性，识别触发条件	每次发布
安全负责人	验证安全相关字段（SBOM、CVD、标准）	每半年 + 事件发生时
DevOps	维护 CI/CD 管道，确保 Schema 验证	管道变更时
合规官	识别法规变更，启动 Schema 更新	每年 + 临时

9.4.5 自动化

CI/CD 检查

检查	时间	失败操作
JSON Schema 验证	每次 PR/推送	阻止构建
必填字段完整性	每次 PR/推送	阻止构建
URL 可达性	每周（计划任务）	Slack/Teams 警告
支持到期警告	每天	到期前 90/30/7 天告警
声明过期警告	每月	超过 6 个月无更新时告警

自动发布

text

发布标签 → CI/CD → 合规门户更新

详情：9.2.6 CI/CD 集成

通知

事件	渠道	接收者
声明已发布	Slack/Teams	产品负责人、安全负责人
验证失败	CI/CD	开发人员
支持即将到期	邮件 + Slack	产品负责人、管理层
声明过期（>6个月）	Slack	产品负责人

9.4.6 特殊情况

产品生命周期结束

当产品达到支持期限结束时：

将 support_period.phase 设置为 eol
合规声明保持发布状态（10 年保留要求，Art. 10(13)）
引用后续产品（如有）
不再提供安全更新——明确沟通

实质性修改 (Art. 20)

发生实质性修改时：

进行新的合规评估（→ 1.8 实质性修改）
签发新的欧盟符合性声明
完全更新 CRA 合规声明
在门户上作为新版本发布

9.4.7 交叉引用

主题	链接
JSON Schema 和验证	9.3 机器可读格式
发布管道	9.2 发布策略
支持与生命周期	6.4 支持与生命周期
实质性修改	1.8 实质性修改
SBOM 保留	2.3 归档与保留

附录 A：模板

BAUER GROUP — Mon, 23 Mar 2026 13:07:11 GMT

附录 A：模板

概述

本附录包含根据 CRA 监管义务可直接使用的模板。模板涵盖三个领域：

ENISA 报告义务 (Art. 14 CRA) -- 向 ENISA / CSIRT 发送有时限要求的通知
事件文档 -- 内部和外部事件报告 (Incident Report)
合规文档 -- 风险评估 (Risk Assessment)、合规声明 (Declaration of Conformity)、产品安全信息
产品合规发布 -- 每个产品的公开 CRA 合规声明

使用说明

所有模板必须按产品逐一填写。方括号 [...] 中的占位符应替换为实际值。填写完成的模板归档在相应的事件工单或产品目录（docs/products//）中。

ENISA 通知模板自 2026年9月11日 起投入运营使用（-> 5.3 ENISA 报告流程）。

ENISA 通知模板 (Art. 14 CRA)

模板	截止期限	CRA 参考	用途
ENISA 预警	24小时	Art. 14(2)(a)	主动利用漏洞/严重事件的初始通知
ENISA 通知	72小时	Art. 14(2)(b)	包含技术细节的详细漏洞通知
ENISA 最终报告	14天	Art. 14(2)(c)	最终分析、根本原因、经验教训

事件模板

模板	用途	触发条件
事件报告（内部）	安全事件的内部文档记录	每个 SEV-1 至 SEV-4 事件
漏洞报告（外部）	向用户通报漏洞	Art. 14(8)：对于需报告 ENISA 的事件，应无不当延迟地通知

合规模板

模板	CRA 参考	用途	频率
风险评估	Art. 10(2), Annex VII 编号 2	每个产品的网络安全风险评估	投放市场前 + 发生重大变更时
欧盟合规声明	Art. 28, Annex V	每个产品的正式合规声明	投放市场前 + 发布新版本时
产品安全信息	Annex II	面向最终用户的安全信息	每个产品，版本变更时更新

产品合规发布

模板	CRA 参考	用途	频率
CRA 合规声明	Art. 13, Art. 28	每个产品的公开合规声明	每个产品，版本变更时更新

技术文档中的模板

除此处列出的模板外，7.1 产品描述（模板）作为根据 Annex VII CRA 编制产品特定技术文档的模板。

7.7 CE 标志（Art. 29-30）

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

7.7 CE 标志（Art. 29-30）

7.7.1 概述

CE 标志是含数字元素产品满足所有适用欧盟要求的可见标识。在产品投放欧盟市场之前，CE 标志是强制性的。CE 标志不仅指 CRA，还涵盖适用于该产品的所有欧盟统一立法 (EU Harmonisation Legislation)。

法律依据

Art. 29 CRA： "CE 标志应在含数字元素产品投放市场前，以可见、清晰和不可磨灭的方式加贴在产品上。如因产品性质而不可能或不适合在产品上加贴，则应加贴在包装或随附文件上。"

Art. 30 CRA： CE 标志遵循 Regulation (EC) No 765/2008 第30条规定的一般原则。

Regulation (EC) No 765/2008，第30条： CE 标志的一般原则（比例、最小尺寸、可见性）。

7.7.2 CE 标志的含义

CE 标志确认：

产品满足所有适用欧盟统一立法的基本要求
规定的合规评估 (Conformity Assessment) 已正确执行
EU 符合性声明 (EU Declaration of Conformity, DoC) 已签发
制造商对合规性承担全部责任

非质量标识

CE 标志不是质量印章，也不是独立机构颁发的证书（除非适用 Module B+C 或 H）。它是制造商关于符合欧盟要求的声明。

7.7.3 何时加贴 CE 标志？

CE 标志仅在以下条件满足时方可加贴：

[ ] 合规评估已成功完成（Module A、B+C 或 H）
[ ] 根据 Art. 28 / Annex V 编制的 EU 符合性声明已完成
[ ] 根据 Annex VII 的技术文档已完整
[ ] Annex I（第I部分和第II部分）的所有基本要求均已满足
[ ] 如涉及外部评估：已获得公告机构 (Notified Body) 的证书

7.7.4 物理要求

根据 Regulation (EC) No 765/2008 和 Art. 29-30 CRA：

要求	规格
最小尺寸	5毫米高度（物理加贴时）
比例	保持纵横比的均匀放大/缩小
可见性	加贴在可见位置
清晰度	容易辨识
不可磨灭性	不易去除（不可磨灭）
语言	无语言要求（通用符号）

7.7.5 CE 标志的放置位置

硬件/物理产品

在产品本身上 — 首选
在包装上 — 如因产品无法或不适合加贴（例如太小、材料不适合）
在随附文件中 — 补充性，不能作为唯一放置位置

软件产品

由于软件没有物理载体，适用特殊规定：

放置位置	描述	建议
关于对话框	在应用程序的"关于"窗口或信息页面中	推荐
README	在仓库的 README 文件或发布包中	推荐
产品文档	在用户或安装文档中	必需
数字用户界面	在应用程序界面（页脚、设置）中	推荐
产品网站	在下载或产品页面上	补充
发布说明	在每个发布版本的发布说明中	补充

容器镜像

对于容器化软件：

放置位置	技术实现
OCI 注解	`org.opencontainers.image.ce-marking: "true"`
OCI 标签	Dockerfile 中的标签：`LABEL eu.cra.ce-marking="conformant"`
镜像文档	容器镜像仓库的 README
Helm Chart / Manifest	在部署配置的元数据中

固件

放置位置	描述
设备本身	CE 标志在包含固件的物理设备上
用户界面	在设备的 Web 界面或配置界面中
更新门户	在固件更新的下载页面上

7.7.6 附加标识

公告机构识别编号

当公告机构参与了合规评估（Module B+C 或 Module H）时，其四位数识别编号必须紧跟在 CE 标志之后：

CE 1234

识别编号由公告机构本身或按其指示加贴
编号可通过欧盟委员会的 NANDO 数据库验证

MODULE A

对于 Module A 下的自我评估，不加贴识别编号。CE 标志独立存在。

制造商信息

除 CE 标志外，还必须标明以下信息：

制造商的名称或商标
制造商（或授权代表）的通讯地址
唯一产品标识（型号、版本、序列号）

7.7.7 禁止的标识

禁止

以下标识不允许使用，可能导致处罚：

可能与 CE 标志混淆的误导性标识（例如"China Export"标志）
未完成合规评估即加贴 CE 标志
CE 标志未涵盖所有适用指令（仅涵盖 CRA 但未涵盖其他相关法规）
未参与的公告机构的识别编号
篡改或伪造的 CE 标志

7.7.8 与 EU 符合性声明的关系

CE 标志与 EU 符合性声明 (DoC) 密不可分：

CE 标志	EU 符合性声明
产品上的可见标识	制造商的正式文件
隐含引用 DoC	必须包含所有合规细节
不含实质信息	包含产品标识、标准、签名
产品上强制	作为随附文件（或其 URL）强制

CE 标志仅在存在有效的 EU 符合性声明时方可加贴。反之，没有 CE 标志的 DoC 也是不完整的。

模板：EU 符合性声明模板

7.7.9 市场监督与缺失的 CE 标志

Art. 56 — 形式不合规

缺失、有缺陷或具有误导性的 CE 标志构成形式不合规 (Formal Non-Conformity)：

违规行为	后果
CE 标志缺失	当局要求加贴；不遵从：停止销售
CE 加贴不正确（比例、可见性）	在限期内纠正
CE 未经合规评估	停止销售 + 可能的处罚
误导性标识	最高 EUR 500万或年营业额 1% 的处罚
公告机构识别编号缺失（Module B+C/H）	形式不合规

形式不合规的处理流程

当局确定形式不合规
    |
    +-- 通知制造商（含截止日期）
    |
    +-- 制造商建立形式合规
    |   +-- 已建立合规 --> 程序结束
    |   +-- 未建立合规 --> 采取措施
    |       +-- 停止销售
    |       +-- 撤回/召回
    |       +-- 处罚

详情：市场监督（Art. 52-58）

7.7.10 BAUER GROUP 实施方案

软件产品

产品类型	CE 标志放置	实现方式
Web 应用	关于对话框、页脚	显示"CE"并链接至 DoC
桌面应用	关于对话框、启动画面	信息部分中的 CE 标志
CLI 工具	README、`--version` 输出	版本信息中的 CE 说明
库/SDK	README、包元数据	`package.json`、`pom.xml` 等中的 CE 引用

容器镜像

措施	实现方式
OCI 注解	镜像元数据中的 `org.opencontainers.image.ce-marking`
Dockerfile 标签	`LABEL eu.cra.ce-marking="conformant"`
镜像 README	仓库 README 中的 CE 标志
Helm Chart	`Chart.yaml` 元数据中的 CE 注解

固件

措施	实现方式
设备标签	物理设备上的 CE 标志
Web 界面	管理面板/信息页面中的 CE 说明
更新文档	发布说明中的 CE 引用

7.7.11 检查清单：CE 标志

加贴前

[ ] 合规评估已成功完成
[ ] EU 符合性声明已编制并签署
[ ] 技术文档完整（Annex VII）
[ ] 所有适用的欧盟统一立法已考虑（不仅是 CRA）
[ ] Module B+C/H：已获得公告机构的证书

正确加贴

[ ] CE 标志可见、清晰且不可磨灭
[ ] 最小尺寸5毫米已满足（物理产品）
[ ] 比例正确
[ ] 公告机构识别编号已标注（如适用）
[ ] CE 标志旁标有制造商信息
[ ] 产品标识已标注

软件特定

[ ] 关于对话框/信息页面中有 CE 标志
[ ] 文档中有 CE 标志
[ ] README/发布说明中有 CE 引用
[ ] 容器：OCI 注解/标签已设置
[ ] EU 符合性声明的链接可用

持续性

[ ] 每次发布时验证 CE 标志
[ ] 新产品版本：重新确认合规性
[ ] 不存在误导性标识
[ ] 文档保持最新

7.7.12 交叉引用

7.8 EU 符合性声明

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

7.8 EU 符合性声明

7.8.1 概述

EU 符合性声明 (EU Declaration of Conformity, DoC) 是制造商声明其产品满足 CRA 要求的正式文件。它是加贴 CE 标志的前提条件。

法律依据

Art. 28 CRA： "制造商应根据 Annex V 编制 EU 符合性声明，并保留至少10年。"

Annex V CRA 定义了 EU 符合性声明的最低内容要求。

7.8.2 根据 Annex V CRA 的内容

EU 符合性声明至少应包含：

制造商的名称和地址，以及（如适用）授权代表 (Authorised Representative) 的信息
声明——符合性声明由制造商独自承担责任签发
产品标识（名称、型号、版本、批号、序列号或其他标识符）
声明——产品符合 CRA 的基本要求
引用——已适用的协调标准 (Harmonised Standards) 或其他技术规范
公告机构 (Notified Body) 的名称和识别编号（如涉及）
附加信息（如适用）
签发地点和日期
负责人的签名，包括姓名和职务
产品的支持期限 (Support Period)

7.8.3 模板

可填写模板请参见：

EU 符合性声明模板

7.8.4 CE 标志

签发 EU 符合性声明后，应加贴 CE 标志：

物理产品

加贴在产品或其包装上
可见、清晰且不可磨灭

软件产品

在产品文档中
在用户界面中（推荐）
在 README / 发布说明中
在产品网站上

CE 标志的要求

最小高度5毫米（物理产品）
比例符合欧盟要求
公告机构识别编号（如涉及）
CE 标志旁注明制造商通讯地址

7.8.5 保留

文件	保留期限	存储位置
EU 符合性声明	产品投放市场后10年	本仓库
技术文档	产品投放市场后10年	本仓库
合规评估记录	产品投放市场后10年	本仓库

7.8.6 向当局提供

根据 Art. 28(5) CRA，EU 符合性声明必须应市场监督当局 (Market Surveillance Authority) 的要求提供：

通过本仓库以电子方式提供
应要求以 PDF 形式提供
以要求当局的语言提供（至少英文）

7.8.7 更新

EU 符合性声明在以下情况下必须更新：

产品发生重大变更（具有修改安全功能的新版本）
已适用标准发生变更
Regulation (EU) 2024/2847 发生变更（授权/实施法案）
评估期限届满（外部评估的情况下）

7.5 EUCC 认证

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

7.5 EUCC 认证

7.5.1 概述

对于关键产品（CRA Annex IV），需获得保证级别至少为"实质性 (substantial)"的欧洲网络安全证书 (European Cybersecurity Certificate, EUCC)。EUCC 基于欧盟网络安全法案 (EU Cybersecurity Act)（Regulation (EU) 2019/881）和通用准则框架 (Common Criteria, ISO/IEC 15408)。

法律依据

Art. 24(3) CRA： 对于 Annex IV 中列出的关键产品，必须获得保证级别为"实质性"或更高的欧洲网络安全证书。

Regulation (EU) 2019/881（网络安全法案）： 定义了欧洲网络安全认证框架。

EUCC 方案（Implementing Regulation (EU) 2024/482）： 规定了基于欧洲通用准则的认证方案。

7.5.2 适用范围

类别	是否需要 EUCC？
默认	否
Class I	否
Class II	否
关键（Annex IV）	是

Annex IV 产品类别

以下产品被分类为关键：

硬件安全模块 (HSM)
智能卡及类似设备（含安全元件）
智能卡读卡器
机器人和机器控制器的传感器和执行器
智能电表网关

7.5.3 保证级别

EUCC 基于通用准则评估保证级别 (Evaluation Assurance Level, EAL) 定义了两个级别：

EUCC 级别	通用准则	检验深度	典型用途
实质性 (Substantial)	EAL 3-4	系统性测试和检查	CRA Annex IV 的最低要求
高 (High)	EAL 5-7	半形式化/形式化验证	高安全性产品

对于 CRA，至少需要**"实质性"**级别。

7.5.4 程序

1. 选择评估设施 (ITSEF)

ITSEF = IT 安全评估设施 (IT Security Evaluation Facility)
必须获得 ISO/IEC 17025 认可
必须获得国家网络安全认证机构的认可
在德国：BSI（联邦信息安全局）为主管机构

2. 创建保护轮廓 / 安全目标

安全目标 (Security Target, ST)

安全目标定义：

TOE（评估目标, Target of Evaluation）— 待评估产品的精确描述
安全问题 — 威胁、组织安全策略、假设
安全目标 — 针对 TOE 和运行环境的目标
安全要求 — 功能性 (SFR) 和保证性 (SAR)
TOE 概述 — 如何满足要求

保护轮廓 (Protection Profile, PP)

如果存在相关的保护轮廓，应予以引用。这将简化评估，因为安全要求已经标准化。

3. 评估

ITSEF 执行评估：

EAL	评估活动
EAL 1	功能性测试
EAL 2	结构性测试
EAL 3	系统性测试和检查
EAL 4	系统性设计、测试和检查
EAL 5	半形式化设计和测试
EAL 6	半形式化验证
EAL 7	形式化验证

对于 CRA Annex IV，通常需要 EAL 3 或 EAL 4（"实质性"级别）。

4. 认证

评估成功通过后：

ITSEF 编制评估技术报告 (Evaluation Technical Report, ETR)
国家认证机构（例如 BSI）审查 ETR
签发 EUCC 证书
证书发布在欧盟网络安全认证数据库中

5. 维护

证书有效期： 有限（通常3-5年）
保证持续性： 针对小幅变更（维护更新）
重新评估： 针对重大变更
漏洞管理： 持续的漏洞处理义务

7.5.5 时间线

阶段	预估时间
创建安全目标	2-4个月
选择和聘请 ITSEF	1-2个月
评估（EAL 4）	6-12个月
国家机构认证	2-4个月
总计	约12-24个月

提前规划

EUCC 评估范围广泛且耗时。请至少在计划上市前 18-24个月开始规划。

7.5.6 费用

费用项目	预估范围
创建安全目标	EUR 15,000 - 50,000
评估（EAL 3-4）	EUR 50,000 - 200,000
认证费用	EUR 5,000 - 15,000
维护/重新评估	EUR 20,000 - 100,000
总计（初次评估）	约 EUR 70,000 - 265,000

注：实际费用很大程度上取决于产品复杂度和目标 EAL。

7.5.7 BAUER GROUP 的相关性

基于产品分类：

Annex IV 类别	是否影响 BAUER GROUP？	行动
硬件安全模块 (HSM)	否（使用，非制造）	无
智能卡/安全元件	否（通常）	无
智能电表网关	检查	如制造能源产品
机器人传感器/执行器	检查	如制造安全关键控制器

当前状态

根据当前评估，BAUER GROUP 没有产品属于 Annex IV。每当有新产品以及授权法案修订时，都会重新审查此评估。

7.5.8 过渡条款

Art. 24(5) CRA： 只要 Annex IV 产品类别尚无合适的 EUCC 方案，可将 Module B+C 作为替代方案
欧盟委员会可通过授权法案 (Delegated Act) 将更多产品添加到 Annex IV
制造商必须主动关注实施法案的制定动态

7.5.9 检查清单：EUCC

[ ] 产品分类已完成（确认属于 Annex IV）
[ ] 已识别相关保护轮廓（如有）
[ ] 安全目标已创建
[ ] ITSEF 已识别并联系
[ ] 评估合同已签订
[ ] 评估材料已提供（源代码、文档、测试计划）
[ ] 评估通过/整改已实施
[ ] ETR 已由国家机构审查
[ ] EUCC 证书已获得
[ ] 证书已发布在欧盟数据库中
[ ] 维护计划已制定
[ ] EU 符合性声明已签发（模板）
[ ] CE 标志已加贴

第7章：合规评估 (Conformity Assessment)

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

第7章：合规评估 (Conformity Assessment)

概述

合规评估 (Conformity Assessment) 是正式证明含数字元素产品满足 CRA 基本网络安全要求的过程。评估类型取决于产品分类 (Product Classification)。

法律依据

Art. 24 CRA： 制造商应在产品投放市场前进行合规评估。具体程序取决于产品类别。

Art. 28 CRA： 合规评估成功完成后，制造商应编制 EU 符合性声明 (EU Declaration of Conformity) 并加贴 CE 标志。

各产品类别的评估程序

类别	程序	描述
标准	Module A（内部控制）	制造商自我评估
Class I	Module A* 或 Module B+C	自我评估（适用协调标准时）或型式检验
Class II	Module B+C 或 Module H	型式检验或全面质量保证
关键	EUCC	欧洲网络安全证书

* Module A 仅在完全适用协调标准 (Harmonised Standards) 时可用于 Class I 产品

章节结构

章节	主题	描述
8.1	内部控制（Module A）	标准和 Class I* 产品的自我评估
8.2	EU 型式检验（Module B+C）	Class I 和 Class II 产品的外部检验
8.3	全面质量保证（Module H）	Class II 产品的基于 QMS 的评估
8.4	欧洲网络安全证书（EUCC）	关键产品的认证（Annex IV）
8.5	产品分类	CRA 风险等级和分类
8.5a	产品清单（Annex III 和 IV）	完整的产品类别清单
8.5b	CE 标志（Art. 29-30）	CE 标志要求
8.6	EU 符合性声明	Annex V CRA，CE 标志
8.7	简化符合性声明（Annex VI）	Annex VI：简化的符合性声明
8.8	用户信息（Annex II）	Annex II：向用户提供的强制性信息

7.3 EU 型式检验（Module B+C）

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

7.3 EU 型式检验（Module B+C）

7.3.1 概述

根据 Module B 进行的 EU 型式检验 (EU Type Examination) 与根据 Module C 进行的型式符合性 (Conformity to Type) 相结合，是 Class I（无协调标准时）和 Class II 产品的合规评估程序。

法律依据

Art. 24(2) CRA： 对于未完全适用协调标准 (Harmonised Standards) 制造的 Class I 产品以及 Class II 产品，必须进行 EU 型式检验（Module B）与型式符合性（Module C）相结合的评估。

CRA Annex VIII，Module B 和 C 描述了程序要求。

7.3.2 适用范围

类别	是否需要 Module B+C？
默认	否 — Module A 即可
Class I（适用协调标准）	否 — Module A* 即可
Class I（无协调标准）	是
Class II	是（替代方案：Module H）
关键	否 — 需要 EUCC

7.3.3 程序

Module B — EU 型式检验

EU 型式检验是合规评估程序的一部分，由公告机构 (Notified Body) 检验产品的技术设计并确认其满足基本要求。

1. 选择公告机构

通过欧盟委员会的 NANDO 数据库搜索
该机构必须获得 CRA（Regulation (EU) 2024/2847）的通知授权
检查相关产品类别和测试能力
签订涵盖范围、时间表和费用的合同

2. 提交技术文档

必须按 Annex VII 提交以下文档：

[ ] 完整的产品描述（参考）
[ ] 安全架构（参考）
[ ] 网络安全风险评估（模板）
[ ] SBOM（机器可读，CycloneDX JSON）
[ ] 漏洞处理流程描述
[ ] 测试结果（渗透测试、安全扫描）
[ ] 更新机制描述（参考）
[ ] 源代码或源代码访问权限（如被要求）

3. 公告机构的检验

公告机构检验：

设计审查 — 设计是否满足 Annex I 第I部分的要求
漏洞处理 — Annex I 第II部分的流程是否已实施
测试结果 — 已进行的测试是否充分和正确
文档 — 技术文档是否完整

4. EU 型式检验证书

检验成功通过后，公告机构签发 EU 型式检验证书，包含：

公告机构的名称和识别编号
产品标识（名称、型号、版本）
检验结果
有效性条件（如适用）
证书识别编号

有效性

EU 型式检验证书的有效期有限。产品或要求发生重大变更时需要重新检验。

Module C — 型式符合性

Module C 确保生产的产品单元符合已检验的型式。

制造商义务

监控生产流程 — 确保每个单元符合已检验的型式
配置管理 — 版本控制和构建可重现性
发布流程 — 签名构建、完整性验证
变更管理 — 对于变更，验证型式检验证书是否仍然有效

对于软件产品，这意味着：

可重现的构建（CI/CD 流水线）
签名的制品（Cosign 签名）
版本控制（Git）
每个发布版本的自动化测试
每个发布版本生成并归档 SBOM（SBOM 生命周期）

7.3.4 时间线

阶段	预估时间
文档准备	4-8周
选择公告机构	2-4周
机构检验	8-16周
整改（如需要）	2-8周
证书签发	1-2周
总计	约4-9个月

尽早开始

最初阶段可用于 CRA 检验的公告机构数量有限。请尽早开始识别和联系合适的机构。

7.3.5 费用

费用因产品复杂度和公告机构而异：

费用项目	预估范围
初次检验（Module B）	EUR 10,000 - 50,000
年度监督	EUR 2,000 - 10,000
变更后的重新检验	EUR 5,000 - 25,000

注：CRA 检验的当前市场价格尚未确立。数值基于类似指令作为参考。

7.3.6 检查清单：Module B+C

[ ] 产品分类已完成（无协调标准的 Class I 或 Class II）
[ ] 技术文档完整（Annex VII）
[ ] 网络安全风险评估已完成
[ ] 渗透测试已执行并记录
[ ] 公告机构已识别并联系（NANDO）
[ ] 与公告机构签订合同
[ ] 文档已提交
[ ] 检验通过/整改已实施
[ ] EU 型式检验证书已获得
[ ] Module C 措施已实施（可重现构建、签名）
[ ] EU 符合性声明已签发（模板）
[ ] 加贴公告机构识别编号的 CE 标志

7.4 质量保证（Module H）

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

7.4 质量保证（Module H）

7.4.1 概述

Module H 下的全面质量保证 (Comprehensive Quality Assurance) 是 Class II 产品的替代合规评估程序。与 Module B+C 不同，此方法不检验单个型式样品，而是检验制造商的整个质量管理体系 (Quality Management System, QMS)。

法律依据

Art. 24(2) CRA： 对于 Class II 产品，作为 EU 型式检验（Module B+C）的替代方案，可采用全面质量保证（Module H）。

CRA Annex VIII，Module H 描述了对质量管理体系的要求。

7.4.2 适用范围

类别	Module H 是否适用？
默认	否 — Module A 即可
Class I	否 — Module A* 或 B+C
Class II	是（作为 Module B+C 的替代方案）
关键	否 — 需要 EUCC

7.4.3 Module H 与 Module B+C 比较

标准	Module B+C	Module H
评估对象	单个型式样品	整个 QMS
适合于	少量产品变体	多产品变体
前提条件	技术文档	认证的 QMS
优势	针对单一产品更集中、更快速	覆盖 QMS 下的所有产品
劣势	每个新产品需单独检验	初始投入较高
建议适用	1-3个 Class II 产品	4个以上 Class II 产品

7.4.4 程序

1. 建立质量管理体系

QMS 必须涵盖以下领域：

设计阶段（安全设计, Security by Design）

产品规格中的网络安全要求
威胁建模和风险评估
安全架构原则
设计流程中的安全审查

开发阶段（安全开发, Secure Development）

安全开发指南（安全编码指南）
以安全为重点的代码审查
静态代码分析 (SAST)
依赖管理和漏洞扫描

测试阶段（安全测试, Security Testing）

动态分析 (DAST)
渗透测试
模糊测试 (Fuzzing)
安全功能的集成测试

生产阶段（安全构建与发布, Secure Build & Release）

可重现的构建
所有制品的签名（Cosign）
每个发布版本生成 SBOM（SBOM 生命周期）
供应链完整性验证

运营阶段（上市后监督, Post-Market Surveillance）

漏洞监控（CVE 监控）
补丁管理（参考）
事件响应（应急手册）
ENISA 报告流程（参考）

2. QMS 评估的公告机构

通过 NANDO 数据库识别机构
机构必须获得 CRA QMS 评估的通知授权
签订涵盖审核范围和监督间隔的合同

3. QMS 审核

公告机构检验：

QMS 文档 — 流程描述、策略、程序
实施情况 — 记录的流程是否确实被执行
有效性 — 流程是否达到了所需的网络安全水平
Annex I 覆盖 — QMS 是否覆盖了所有基本要求

4. QMS 证书

审核成功通过后，公告机构签发 QMS 证书。在此 QMS 下制造的所有产品均被视为已通过合规评估。

5. 监督

公告机构的定期审核（通常每年一次）
可能进行不预先通知的检查
QMS 发生重大变更时需重新认证

7.4.5 与现有标准的整合

Module H 与现有管理体系具有良好的整合性：

标准	与 Module H 的协同
ISO 27001（ISMS）	与安全控制措施高度重叠
ISO 9001（QMS）	基础 QMS 结构可复用
IEC 62443（工业安全）	与工业 IoT 产品相关
ISO/SAE 21434（汽车）	与汽车软件相关

利用协同效应

如果已有经认证的 ISO 27001 或 ISO 9001 管理体系，可将其作为 CRA QMS 的基础。需补充 Annex I 的网络安全特定要求。

7.4.6 时间线

阶段	预估时间
QMS 建设/扩展	6-12个月
内部审核	2-4周
选择公告机构	2-4周
外部审核	4-8周
整改	2-8周
证书签发	1-2周
总计	约9-15个月

7.4.7 费用

费用项目	预估范围
QMS 建设（内部/外部）	EUR 20,000 - 80,000
初次审核	EUR 15,000 - 40,000
年度监督审核	EUR 5,000 - 15,000
重新认证（每3年）	EUR 10,000 - 30,000

注：数值仅供参考。如已有 ISO 27001/9001，投入将显著减少。

7.4.8 检查清单：Module H

[ ] 产品分类已完成（确认为 Class II）
[ ] Module H 与 Module B+C 的选择已做出并论证
[ ] QMS 已建设或现有 QMS 已扩展
[ ] 所有阶段已覆盖（设计、开发、测试、生产、运营）
[ ] Annex I 要求已嵌入 QMS
[ ] 内部审核已执行
[ ] 公告机构已识别并联系（NANDO）
[ ] 与公告机构签订合同
[ ] 外部审核通过/整改已实施
[ ] QMS 证书已获得
[ ] 监督计划已商定
[ ] EU 符合性声明已签发（模板）
[ ] 加贴公告机构识别编号的 CE 标志

7.6 产品清单（Annex III 和 IV）

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

7.6 产品清单（Annex III 和 IV）

7.6.1 概述

《网络弹性法案》(Cyber Resilience Act, CRA) 在 Annex III 和 Annex IV 中定义了特定的产品类别，这些类别适用特殊的合规评估 (Conformity Assessment) 程序。本页面包含其中规定的所有产品类别的完整清单，包括描述、所需评估程序以及对 BAUER GROUP 的相关性评估。

分类逻辑（决策树、各类别的评估程序）在产品分类页面中描述。

法律依据

Art. 7 CRA 定义了"重要的含数字元素产品 (Important Products with Digital Elements)"（Annex III）和"关键的含数字元素产品 (Critical Products with Digital Elements)"（Annex IV）类别。

Art. 24(1)-(3) CRA 确定了各类别的合规评估程序：

Class I（Annex III 第I部分）： 适用协调标准时采用内部控制（Module A），否则采用 EU 型式检验（Module B+C）
Class II（Annex III 第II部分）： EU 型式检验（Module B+C）或全面质量保证（Module H）
关键（Annex IV）： 保证级别为"实质性"或更高的欧洲网络安全证书 (EUCC)

Art. 7(3) CRA 授权欧盟委员会通过授权法案 (Delegated Acts) 修改 Annex III 和 IV。

7.6.2 Annex III — 重要的含数字元素产品

第I部分 — Class I

在完全适用协调标准 (Harmonised Standards) 时，Class I 产品可通过内部控制（Module A）进行评估。如未适用协调标准，则需要进行 EU 型式检验（Module B+C）。

编号	产品类别	描述	合规模块
1	身份管理系统和特权访问管理软件	管理数字身份和控制特权访问权限（特权访问管理, PAM）的系统	Module A* / B+C
2	独立和嵌入式浏览器	作为独立应用程序或作为嵌入其他产品中的组件的 Web 浏览器	Module A* / B+C
3	密码管理器	用于安全存储、管理和自动输入密码及凭据的软件	Module A* / B+C
4	搜索、删除或隔离恶意软件的软件（反恶意软件）	检测、隔离和删除恶意软件的安全软件	Module A* / B+C
5	具有虚拟专用网络 (VPN) 功能的含数字元素产品	提供虚拟专用网络功能的产品	Module A* / B+C
6	网络管理系统	用于监控、配置和管理网络基础设施的系统	Module A* / B+C
7	安全信息和事件管理 (SIEM) 系统	用于实时收集、关联和分析安全相关事件的系统	Module A* / B+C
8	引导管理器	控制系统启动过程并支持选择要加载的操作系统的软件	Module A* / B+C
9	公钥基础设施和数字证书颁发软件	用于管理加密密钥以及颁发、管理和验证数字证书的软件	Module A* / B+C
10	物理和虚拟网络接口	支持网络内通信的硬件和软件网络接口	Module A* / B+C
11	操作系统	管理计算机基本功能并支持应用程序执行的软件	Module A* / B+C
12	用于连接互联网的路由器、调制解调器和交换机	用于连接互联网的网络硬件，包括路由器、调制解调器和交换机	Module A* / B+C
13	具有安全相关功能的微处理器	实现安全相关功能的微处理器	Module A* / B+C
14	具有安全相关功能的微控制器	实现安全相关功能的微控制器	Module A* / B+C
15	具有安全相关功能的 ASIC 和 FPGA	具有安全相关功能的专用集成电路 (ASIC) 和现场可编程门阵列 (FPGA)	Module A* / B+C
16	通用智能家居虚拟助手	用于智能家居中具有通用功能的语音控制或 AI 助手	Module A* / B+C
17	具有安全功能的智能家居产品	具有安全功能的智能家居产品，包括门锁、摄像头、婴儿监控系统和报警系统	Module A* / B+C
18	具有社交互动功能或位置追踪的联网玩具	Directive 2009/48/EC 范围内具有社交互动功能或位置追踪的联网玩具	Module A* / B+C
19	用于健康监测目的的个人可穿戴产品	佩戴在身上用于监测健康相关参数的产品	Module A* / B+C

* Module A 仅在完全适用协调标准或符合欧盟网络安全认证时适用

第II部分 — Class II

Class II 产品需要强制性的第三方评估：EU 型式检验（Module B+C）或全面质量保证（Module H）。

编号	产品类别	描述	合规模块
1	支持操作系统虚拟化执行的虚拟机管理程序和容器运行时系统	支持操作系统虚拟化执行的虚拟机管理程序和容器运行时系统	Module B+C / H
2	防火墙、入侵检测和/或防御系统	用于监控、检测和阻止攻击及未授权访问的网络安全系统	Module B+C / H
3	防篡改微处理器	具有物理防篡改和防读取保护的微处理器（防篡改）	Module B+C / H
4	防篡改微控制器	具有物理防篡改和防读取保护的微控制器（防篡改）	Module B+C / H

7.6.3 Annex IV — 关键的含数字元素产品

关键产品需要保证级别为"实质性"或更高的欧洲网络安全证书 (EUCC)。

编号	产品类别	描述	合规模块
1	带有安全盒的硬件设备（HSM、智能卡等）	在受保护环境中执行加密操作的硬件安全模块 (HSM)、智能卡及类似设备	EUCC
2	智能卡读卡器	用于读取和处理智能卡数据以进行认证、签名或加密的设备	EUCC
3	机器人和机器人控制器的传感器和执行器组件（工业应用）	用于工业应用中机器人和机器人控制器的传感器和执行器	EUCC
4	Directive (EU) 2019/944 第2(23)条意义上的智能电表	根据电力内部市场指令测量能源消耗的电子计量系统	EUCC
5	属于高级计量基础设施 (AMI) 的所有设备和软件组件	作为高级计量基础设施一部分的所有设备和软件	EUCC

7.6.4 合规模块概览

产品类别	Module A（自评）	Module B+C（型式）	Module H（质量）	EUCC
标准（未列于 Annex III/IV）	✅	-	-	-
Class I（Annex III 第I部分）	✅*	✅	-	-
Class II（Annex III 第II部分）	-	✅	✅	-
关键（Annex IV）	-	-	-	✅

* 仅在完全适用协调标准时

各模块的详细信息：

7.6.5 BAUER GROUP 相关性评估

下表评估了 Annex III 和 IV 中每个产品类别对 BAUER GROUP 的相关性。

Annex III 第I部分 — Class I

编号	产品类别	相关性	理由
1	身份管理系统 / PAM	待评估	如提供 IAM 解决方案或 PAM 软件
2	独立和嵌入式浏览器	不相关	BAUER GROUP 不生产浏览器
3	密码管理器	待评估	如提供凭据管理解决方案
4	反恶意软件	不相关	BAUER GROUP 不生产反恶意软件
5	VPN 产品	待评估	如产品中集成了 VPN 功能
6	网络管理系统	待评估	如提供网络监控工具
7	SIEM 系统	不相关	BAUER GROUP 不生产 SIEM 系统
8	引导管理器	不相关	BAUER GROUP 不生产引导管理器
9	PKI 和证书颁发软件	待评估	如提供证书管理解决方案
10	物理和虚拟网络接口	待评估	如制造带固件的网络组件
11	操作系统	待评估	如涉及操作系统级产品或嵌入式操作系统
12	路由器、调制解调器、交换机	待评估	如提供带固件的网络硬件
13	微处理器（安全相关）	待评估	如开发具有安全功能的微处理器
14	微控制器（安全相关）	相关	ESP32/STM32 具有安全相关功能的固件
15	ASIC / FPGA（安全相关）	待评估	如使用具有安全功能的 ASIC 或 FPGA
16	智能家居虚拟助手	不相关	BAUER GROUP 不生产智能家居助手
17	具有安全功能的智能家居产品	不相关	BAUER GROUP 不生产智能家居安全产品
18	联网玩具	不相关	BAUER GROUP 不生产玩具
19	健康监测可穿戴设备	不相关	BAUER GROUP 不生产健康可穿戴设备

Annex III 第II部分 — Class II

编号	产品类别	相关性	理由
1	虚拟机管理程序/容器运行时	不相关	BAUER GROUP 使用容器但不提供运行时
2	防火墙 / IDS / IPS	待评估	如提供具有防火墙/IDS 功能的安全产品
3	防篡改微处理器	不相关	BAUER GROUP 不生产防篡改处理器
4	防篡改微控制器	不相关	BAUER GROUP 不生产防篡改控制器

Annex IV — 关键

编号	产品类别	相关性	理由
1	HSM、智能卡等	不相关	BAUER GROUP 使用 HSM 但不生产
2	智能卡读卡器	不相关	BAUER GROUP 不生产智能卡读卡器
3	机器人传感器和执行器（工业）	待评估	如制造工业机器人组件
4	智能电表（Directive (EU) 2019/944）	待评估	如制造能源计量设备
5	高级计量基础设施 (AMI)	待评估	如制造 AMI 组件

7.6.6 后续步骤

执行分类 — 使用产品分类页面的决策树
审查相关性 — 将每个 BAUER GROUP 产品与上述清单进行比对
确定评估程序 — 选择正确的合规模块
文档化 — 将分类结果记录在产品描述中
风险评估 — 为每个已分类的产品创建风险评估

7.2 内部控制（Module A）

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

7.2 内部控制（Module A）

7.2.1 程序

根据 CRA Annex VIII Module A 的内部控制 (Internal Control) 是最简单的合规评估 (Conformity Assessment) 程序。制造商自行评估其产品是否满足基本要求。

适用范围

Module A 适用于：

标准产品（未列于 Annex III 或 IV 中）
Class I — 仅在完全适用协调标准 (Harmonised Standards) 时

对于 Class II 和关键产品，Module A 不足够。

7.2.2 内部控制流程

1. 编制技术文档

根据 CRA Annex VII，必须具备完整的技术文档：

[ ] 产品描述（模板）
[ ] 安全架构（参考）
[ ] 网络安全风险评估（模板）
[ ] SBOM（机器可读，CycloneDX）
[ ] 漏洞处理描述
[ ] 已适用的标准和规范
[ ] 测试结果

2. 要求审查（Annex I）

审查 Annex I 的每项要求并记录合规性：

第I部分 — 安全要求：

编号	要求	合规	证据
1	适当的网络安全水平	☐	[参考文档]
2	无已知可利用漏洞	☐	CVE 监控 + Trivy 扫描
3.1	机密性保护	☐	[加密、访问控制]
3.2	完整性保护	☐	[Cosign、校验和]
3.3	可用性保护	☐	[弹性措施]
4	安全默认配置	☐	[默认安全]
5	未授权访问防护	☐	[认证、授权]
6	攻击面最小化	☐	[最小服务、端口]
7	存储数据的机密性	☐	[加密]
8	存储数据的完整性	☐	[完整性检查]
9	数据最小化	☐	[仅必要数据]
10	基本功能的可用性	☐	[弹性]
11	不利影响最小化	☐	[日志、监控]
12	安全相关信息	☐	[日志、审计跟踪]
13	安全更新能力	☐	[更新机制]

第II部分 — 漏洞处理：

编号	要求	合规	证据
1	识别和记录漏洞（SBOM）	☐	SBOM 生命周期
2	及时修复漏洞	☐	补丁管理
3	定期测试和审查	☐	CI/CD 安全扫描
4	公开披露已修复的漏洞	☐	Security Advisories
5	协调漏洞披露 (Coordinated Vulnerability Disclosure)	☐	CVD 策略
6	提供安全更新	☐	更新机制
7	及时提供更新	☐	补丁管理 SLA
8	漏洞报告联系点	☐	SECURITY.md

3. 签发 EU 符合性声明

审查成功完成后：

根据 Annex V 编制 EU 符合性声明（模板）
由授权人员签署
在仓库中归档

4. CE 标志

在产品或其包装上加贴 CE 标志
对于软件：在文档中以及（如适用）在用户界面中显示
必须可见、清晰、不可磨灭

5. 保留文档

技术文档：产品投放市场后10年
EU 符合性声明：产品投放市场后10年
存储位置：本仓库（Git 版本控制）

7.2.3 检查清单：Module A — 内部控制

[ ] 产品分类已完成（标准或适用协调标准的 Class I）
[ ] 技术文档完整（Annex VII）
[ ] 网络安全风险评估已执行
[ ] Annex I 第I部分 — 所有要求已审查并记录
[ ] Annex I 第II部分 — 所有要求已审查并记录
[ ] SBOM 已生成并归档
[ ] 漏洞处理流程已建立
[ ] EU 符合性声明已编制并签署
[ ] CE 标志已加贴
[ ] 文档已归档（10年保留）

4.1 事件响应手册

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

4.1 事件响应手册

4.1.1 目的

本手册定义了根据 CRA Art. 14 和 Annex I, Part II 对网络安全事件进行检测、评估、遏制、修复和事后审查的约束性流程。

4.1.2 升级级别

级别	名称	标准	示例
SEV-1	严重 (Critical)	生产环境中被积极利用的漏洞、数据丢失、完全沦陷	零日漏洞利用、勒索软件、数据窃取
SEV-2	高 (High)	可利用的漏洞（已有 PoC）、部分沦陷	具有公开利用代码的 CVE、检测到横向移动
SEV-3	中 (Medium)	无已知利用方式的漏洞、影响有限	无 PoC 的新增 CRITICAL CVE、配置错误
SEV-4	低 (Low)	信息性发现、最佳实践偏差	LOW/MEDIUM CVE、策略违规

4.1.3 手册：第 1 阶段 — 检测与分类 (Detection & Triage)

时间范围： 0 – 1 小时

安全事件检测
    │
    ├── 识别来源
    │   ├── CVE 监控（自动化）
    │   ├── Dependabot 告警
    │   ├── 外部报告 (SECURITY.md)
    │   ├── 内部检测
    │   └── ENISA / CSIRT 通知
    │
    ├── 安全负责人 (Security Lead) 初步评估
    │   ├── 确定严重程度 (SEV-1 至 SEV-4)
    │   ├── 识别受影响产品
    │   ├── 漏洞是否正在被积极利用？
    │   └── 客户数据是否受到影响？
    │
    └── 升级决策
        ├── SEV-1/SEV-2 → 立即升级至管理层
        │   └── 如正在被积极利用 → ENISA 24 小时期限开始
        ├── SEV-3 → 72 小时内解决
        └── SEV-4 → 常规处理

分类检查清单：

[ ] 事件来源已记录
[ ] 严重程度已确定 (SEV-1/2/3/4)
[ ] 受影响的产品和版本已识别
[ ] 已验证是否存在积极利用（KEV 目录、威胁情报）
[ ] 已评估 ENISA 报告义务
[ ] 已创建事件工单（GitHub Issue，标签 incident）

4.1.4 手册：第 2 阶段 — 遏制 (Containment)

时间范围： 1 – 4 小时 (SEV-1)，4 – 24 小时 (SEV-2)

紧急措施
    │
    ├── 短期遏制
    │   ├── 隔离受影响的服务（如可行）
    │   ├── 实施临时解决方案
    │   ├── 限制访问
    │   └── 证据保全（日志、工件）
    │
    ├── 在存在积极利用的情况下
    │   ├── 发送 ENISA 预警（≤ 24 小时）
    │   ├── 警告受影响用户
    │   └── 发布临时缓解措施
    │
    └── 沟通
        ├── 通知内部团队
        ├── 向管理层汇报 (SEV-1/2)
        └── 启动沟通计划

遏制检查清单：

[ ] 紧急措施已实施
[ ] 证据已保全（日志、截图、工件）
[ ] ENISA 预警已发送（如需报告）
[ ] 受影响用户已通知（如需要）
[ ] 遏制措施已记录

4.1.5 手册：第 3 阶段 — 修复 (Remediation)

时间范围： 4 – 48 小时 (SEV-1)，1 – 7 天 (SEV-2)

补丁开发
    │
    ├── 根因分析 (Root Cause Analysis)
    │   ├── 在代码中定位漏洞
    │   ├── 追踪利用路径
    │   └── 识别受影响组件
    │
    ├── 实施修复
    │   ├── 依赖更新或代码修复
    │   ├── 测试（单元测试、集成测试、安全测试）
    │   └── 安全审查（四眼原则）
    │
    ├── 热修复发布 (Hotfix Release)
    │   ├── CI/CD 流水线
    │   ├── 更新 SBOM
    │   ├── 签名发布 (Cosign)
    │   └── 发布版本
    │
    ├── ENISA 通知（72 小时）
    │   └── 详细的漏洞通知
    │
    └── 用户更新
        ├── 发布安全公告
        ├── 更新说明
        └── 分配 CVE-ID（如尚未分配）

修复检查清单：

[ ] 根因已识别并记录
[ ] 补丁已开发并测试
[ ] 安全审查已完成
[ ] 热修复版本已发布（已签名）
[ ] SBOM 已更新
[ ] ENISA 通知（72 小时）已发送
[ ] 安全公告已发布
[ ] 用户已通知

4.1.6 手册：第 4 阶段 — 恢复与验证 (Recovery & Validation)

时间范围： 修复后 1 – 7 天

恢复
    │
    ├── 补丁分发
    │   ├── 所有用户可获取更新
    │   ├── 自动更新正常运行（如已实施）
    │   └── OTA 分发成功（固件）
    │
    ├── 验证
    │   ├── 漏洞已在生产环境中关闭
    │   ├── 无回归问题
    │   ├── 监控显示正常运行
    │   └── CVE 监控确认修复
    │
    └── 更新文档
        ├── 关闭 CVE 工单
        ├── 更新事件工单
        └── 完成发布说明

4.1.7 手册：第 5 阶段 — 事后审查 (Post-Incident Review)

时间范围： 修复后 7 – 14 天

经验教训 (Lessons Learned)
    │
    ├── ENISA 最终报告（≤ 14 天）
    │   ├── 根因分析
    │   ├── 已采取的措施
    │   ├── 受影响的用户/产品
    │   └── 改进措施
    │
    ├── 内部事后分析
    │   ├── 哪些做得好？
    │   ├── 哪些可以改进？
    │   ├── 是否识别出流程调整？
    │   └── 工具改进？
    │
    └── 流程改进
        ├── 更新手册
        ├── 调整监控
        ├── 制定培训措施
        └── 更新文档

事后审查检查清单：

[ ] ENISA 最终报告已发送（≤ 14 天）
[ ] 事后分析已完成
[ ] 经验教训已记录
[ ] 流程改进已实施
[ ] 手册已更新（如有必要）
[ ] 事件工单已关闭

4.1.8 联系人列表

角色	可达性	升级时间
安全负责人 (Security Lead)	电子邮件 + Teams	立即 (SEV-1/2)，4 小时 (SEV-3)
DevOps 负责人 (DevOps Lead)	电子邮件 + Teams	1 小时 (SEV-1/2)，8 小时 (SEV-3)
管理层 (Management)	电子邮件 + 电话	2 小时 (SEV-1)，4 小时 (SEV-2)
ENISA / CSIRT	统一报告平台 (Single Reporting Platform)	根据 Art. 14 CRA

联系方式

具体的联系方式（电子邮件、电话、ENISA 凭证）保存在单独的非公开文档中，仅供事件响应团队 (Incident Response Team) 访问。

1.5 授权代表 (Art. 16)

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

1.5 授权代表 (Art. 16)

1.5.1 概述

Art. 16 CRA 允许在欧盟境外设立的制造商指定一名在欧盟境内设立的授权代表 (Authorised Representative) 代表其执行特定任务。授权代表作为主管机构的接口和文档联络点，但不替代制造商在产品设计和合规方面的实质性责任。

法律依据

Art. 16 CRA： "制造商可通过书面委托指定授权代表。Art. 13(1)（产品设计的安全要求）规定的义务和技术文档的编制不属于委托范围。"

Art. 3 No. 22 CRA： "授权代表"是指在欧盟境内设立的、已收到制造商书面委托代表其执行特定任务的任何自然人或法人。

1.5.2 何时需要授权代表？

在以下情况下需要授权代表：

制造商在欧盟境外设立，并将含数字元素的产品投放欧盟市场
没有根据 Art. 15 的进口商作为欧盟主管机构的接口
制造商希望确保与市场监管机构沟通的正式欧盟存在

不能替代进口商

指定授权代表不能替代进口商（Art. 15）的义务。如果存在单独的进口商，进口商有其自身独立的义务。如果既没有授权代表也没有进口商，主管机构无法在欧盟境内直接联系到制造商，这可能导致加强执法措施。

1.5.3 可委托的任务（Art. 16 第2款）

授权代表应执行委托中规定的任务。至少应包括：

1. 持有文档

将根据 Art. 28 的欧盟符合性声明保存至少10年
将根据 Annex VII 的技术文档保存以供主管机构查阅
应要求出示合格评定记录

2. 与市场监管机构合作

根据合理请求，向主管机构提供证明合规所需的所有信息和文档
使用主管机构的语言或主管机构接受的语言回复
配合下令的纠正措施以消除风险

3. 信息义务

关于主管机构的请求立即通知制造商
向主管机构提供制造商的身份及联系方式
如发生被积极利用的漏洞，在制造商未回应时通知有管辖权的机构（ENISA、国家 CSIRT）

1.5.4 不可委托的义务

不可转移

以下制造商义务不能委托给授权代表：

产品设计和开发 -- 符合 Annex I 第一部分的基本要求
执行合格评定 -- 制造商仍负责正确执行（Module A、B+C 或 H）
编制技术文档 -- 文档必须由制造商编制；授权代表仅负责保存
漏洞处理流程 -- Annex I 第二部分的义务由制造商承担
安全更新 -- 补丁和更新的提供

1.5.5 委托的正式要求

授权代表的指定必须满足以下要求：

[ ] 书面委托 -- 正式、签署的文件
[ ] 精确的产品范围 -- 涵盖哪些产品/产品线
[ ] 任务范围 -- 哪些可委托的任务分配给授权代表
[ ] 双方（制造商和授权代表）的联系方式
[ ] 语言安排 -- 以何种语言与主管机构进行沟通
[ ] 期限和终止 -- 开始、期限和终止条件
[ ] 责任安排 -- 关于责任分配的协议

保留

书面委托必须可供市场监管机构在请求时查阅。应与欧盟符合性声明和技术文档一起归档（保留期限：最后受影响产品投放市场后10年）。

1.5.6 BAUER GROUP 背景

情景1：BAUER GROUP 作为非欧盟制造商

当 BAUER GROUP 的子公司在欧盟境外设立并将含数字元素的产品投放欧盟市场时：

措施	描述
指定授权代表	将 BAUER GROUP 欧盟机构指定为授权代表
书面委托	为每个受影响的产品/产品线准备委托书
文档流转	将技术文档从非欧盟站点转移至授权代表
机构沟通	授权代表作为国家主管机构的主要联络人

情景2：BAUER GROUP 作为合作伙伴的授权代表

当 BAUER GROUP 作为非欧盟合作伙伴供应商的授权代表时：

[ ] 从合作伙伴制造商处获取书面委托
[ ] 明确定义产品范围
[ ] 确保合作伙伴已正确执行合格评定
[ ] 获取并归档欧盟符合性声明和技术文档
[ ] 建立主管机构请求的处理流程
[ ] 评估责任风险并通过合同进行规范

责任风险

作为授权代表，BAUER GROUP 对某些义务与制造商承担连带责任。仔细的合同保障和赔偿条款至关重要。

1.5.7 与进口商的关系 (Art. 15)

授权代表和进口商的角色是互补但不同的：

方面	授权代表 (Art. 16)	进口商 (Art. 15)
任命	由制造商通过委托	独立的经济运营方
主要功能	文档 + 机构联络	尽职调查 + 投放市场
自身标识	否	是（产品上标注名称、地址）
合规验证	不要求	投放市场前必须验证
存储/运输	无影响	必须确保合规
报告义务	代表制造商	独立义务

如未指定授权代表，进口商将承担向主管机构的额外文档和沟通职责。指定授权代表可以在此方面减轻进口商的负担，但不能免除进口商自身的验证和尽职调查义务。

详情：进口商义务

1.5.8 检查清单：授权代表

指定

[ ] 授权代表在欧盟境内设立
[ ] 书面委托已编制并签署
[ ] 委托中明确定义产品范围
[ ] 已确定任务范围
[ ] 责任安排已通过合同约定
[ ] 授权代表的联系方式已包含在欧盟符合性声明中

持续运营

[ ] 欧盟符合性声明已存放于授权代表处
[ ] 技术文档在授权代表处可用
[ ] 主管机构请求的处理流程已建立并测试
[ ] 制造商与授权代表之间的信息流已保障
[ ] 产品变更或新产品时已更新委托
[ ] 10年归档已确保

1.5.9 处罚

违规行为	处罚
授权代表未履行义务	最高1000万欧元或全球年营业额的2%
向主管机构提供虚假/不完整信息	最高500万欧元或年营业额的1%
委托书无法出示	正式不合格 (Art. 56)

1.5.10 交叉参考

1.6 分销商义务 (Art. 17)

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

1.6 分销商义务 (Art. 17)

1.6.1 概述

分销商 (Distributor) 是供应链中在不充当制造商或进口商的情况下将含数字元素的产品提供到市场上的经济运营方。CRA 对其规定了尽职调查义务，主要集中在验证和合作方面。

法律依据

Art. 17 CRA： 分销商在将含数字元素的产品提供到市场上时，应对本法规的要求尽到应有的注意义务。

Art. 3 No. 22 CRA： "分销商"是指供应链中在不充当制造商或进口商的情况下将含数字元素的产品提供到市场上的任何自然人或法人。

1.6.2 BAUER GROUP 何时属于分销商？

BAUER GROUP 在以下情况下充当分销商：

将来自其他制造商的成品软件产品转售给客户（未进行自身修改）
将带有第三方制造商嵌入式软件的硬件供应给最终客户
通过自有网店或市场平台提供产品，且 BAUER GROUP 既非制造商也非进口商

区别

分销商 --> 未修改的转销
进口商 --> 非欧盟产品的首次投放市场
制造商 --> 自有产品或实质性修改 (--> Art. 20)

1.6.3 详细义务

1. 尽职调查（Art. 17 第1款）

在产品提供到市场前，分销商必须验证：

[ ] 产品带有 CE 标志
[ ] 欧盟符合性声明（或带 URL 的简化版本）已附随
[ ] 制造商已在产品上提供联系方式
[ ] 对于进口产品：进口商已提供其联系方式
[ ] 产品具有唯一标识（类型、批次、序列号）

2. 不合规时的分销停止（Art. 17 第2款）

如果分销商有理由认为产品不合规：

在确认合规之前不得将产品提供到市场
通知制造商或进口商
如存在严重风险，通知市场监管机构

3. 存储和运输条件（Art. 17 第3款）

确保存储和运输不会损害合规性：

确保软件分发介质的完整性
使用安全的下载渠道
分发过程中不得篡改软件

4. 与机构合作（Art. 17 第4款）

应市场监管机构要求：

提供所有必要的信息和文件
协助消除风险
能够识别制造商和进口商

5. 报告义务（Art. 17 第5款）

获悉被积极利用的漏洞或严重事件时：

立即通知制造商
如制造商未回应：通知进口商
如两者均未回应：直接向 ENISA 和国家 CSIRT 报告

6. 纠正措施（Art. 17 第6款）

如果分销商确认已分销的产品不合规：

采取纠正措施（召回、向客户发出警告）
通知市场监管机构
记录所有措施

1.6.4 分销商检查清单

提供到市场前

[ ] 已验证 CE 标志
[ ] 欧盟符合性声明可用（或简化版本的 URL）
[ ] 产品上有制造商联系方式
[ ] 进口商联系方式（如为非欧盟产品）已标注
[ ] 产品标识已存在
[ ] 无不合规或严重风险的信息

持续性

[ ] 跟踪客户投诉和安全警告
[ ] 将制造商安全公告转发给客户
[ ] 支持制造商的召回行动
[ ] 分发渠道完整性已保障

1.6.5 分销商与进口商的区别

标准	分销商	进口商
角色	提供到市场	首次投放市场
验证深度	形式验证（CE、DoC）	实质验证（合格评定）
自身标识	不要求	强制（名称、地址）
文件保留	未明确要求	10年义务
ENISA 报告义务	辅助性（如制造商未回应）	辅助性（如制造商未回应）

1.6.6 责任与处罚

违规行为	处罚
明知不合规仍提供产品	最高1500万欧元或年营业额的2.5%
未履行尽职调查义务	最高1000万欧元或年营业额的2%
向主管机构提供虚假信息	最高500万欧元或年营业额的1%

详情：处罚

1.12 协调标准 (Art. 5–6)

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

1.12 协调标准 (Art. 5–6)

1.12.1 概述

Art. 5 和 Art. 6 CRA 规范了含数字元素产品在欧盟单一市场内的自由流通以及协调标准 (Harmonised Standards) 在建立合规推定中的作用。对于 BAUER GROUP，这些规定至关重要，因为它们决定了产品在欧盟市场上提供的条件以及适用的合格评定程序。

法律依据

Art. 5 CRA： 商品自由流通——符合 CRA 要求的含数字元素产品不得被国内法规禁止或限制在市场上提供。

Art. 6 CRA： 协调标准——符合其参考文献已在《欧盟官方公报》(OJEU) 上发布的协调标准（或其部分）的产品，推定符合 Annex I 相应的基本要求。

1.12.2 Art. 5 -- 产品的自由流通

原则

符合 CRA 要求的含数字元素产品应在欧盟市场上提供。成员国不得禁止、限制或阻碍此类产品的提供。

禁止额外的国家要求

成员国不得对含数字元素产品的市场提供施加额外的国家网络安全要求。CRA 要求在整个欧盟统一适用。

例外：贸易展会和展览

产品可在贸易展会、展览和演示中无需完全符合 CRA 的情况下展示，前提是：

展示可见的提示，表明产品尚未符合 CRA 要求
产品在活动中并未实际投放市场
采取了适当的安全措施

实用提示

当 BAUER GROUP 参加贸易展会时，原型和预生产产品必须附有相应的提示，例如："本产品尚未满足法规 (EU) 2024/2847（网络弹性法案）的要求，不打算投放市场。"

1.12.3 Art. 6 -- 协调标准与合规推定

合规推定机制

要素	描述
依据	其参考文献已在《欧盟官方公报》上发布的协调标准
效果	推定符合 Annex I 所涵盖的基本要求
范围	完全适用时为完全推定；部分适用时为部分推定
标准化组织	CEN、CENELEC、ETSI（由欧盟委员会授权）
法律后果	举证责任倒置——主管机构需证明不合规

协调标准的制定状态

当前状态

截至2026年2月，CRA 的协调标准仍在制定中。欧洲标准化组织 CEN、CENELEC 和 ETSI 正在制定相关标准。预计参考文献将于 2026/2027年 在《欧盟官方公报》上发布。

通用规范（备选方案）

如协调标准不存在或仅不完全覆盖基本要求，欧盟委员会可通过实施法案采纳通用规范 (Common Specifications)。这些规范提供相同的合规推定。

对合格评定的意义

协调标准的可用性对适用的合格评定程序具有直接影响：

产品类别	有协调标准	无协调标准
标准	Module A（自我评估）	Module A（自我评估）
I 类	Module A（自我评估）——完全适用时	需要 Module B+C（EU 型式检验）
II 类	Module B+C 或 Module H	Module B+C 或 Module H
关键	EUCC 认证	EUCC 认证

I 类产品需要行动

对于 BAUER GROUP 制造的 I 类产品（例如具有安全相关功能的微控制器），协调标准的可用性至关重要：如果未完全适用协调标准，Module A 不足够——而需要更严格的 Module B+C 程序。

1.12.4 对 BAUER GROUP 的实际影响

协调标准监控流程

BAUER GROUP 建立以下监控流程：

《欧盟官方公报》监控 -- 定期审查《欧盟官方公报》中 CRA 协调标准参考文献的发布
CEN/CENELEC/ETSI 跟踪 -- 关注标准草案和公众咨询
适用性评估 -- 评估已发布的标准中哪些与自有产品相关
实施规划 -- 规划在自有流程和产品中采纳相关标准

新标准发布时的过渡规划

阶段	操作	负责人
发布	评估对 BAUER GROUP 产品的相关性	CISO / 产品负责人
分析（1-3个月）	对照现有产品文档进行差距分析	安全负责人
实施（3-6个月）	调整流程、文档和产品	开发团队
验证	验证是否完全符合标准	CISO
文档	更新符合性声明	产品负责人

对模块选择的影响

在协调标准可用之前：

标准产品： Module A 仍然适用（无限制）
I 类产品： 需要 Module B+C -- 参见 Module B+C
协调标准发布后：I 类产品可过渡到 Module A（自我评估），前提是完全适用标准

另请参见：产品分类 | 自我评估 (Module A)

1.4 进口商义务 (Art. 15)

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

1.4 进口商义务 (Art. 15)

1.4.1 概述

进口商 (Importer) 是将来自第三国制造商（欧盟以外）的含数字元素产品投放欧盟市场的经济运营方。CRA 对其规定了特定的尽职调查义务，以确保只有合规的产品才能进入欧盟市场。

法律依据

Art. 15 CRA： 进口商只应将符合 Annex I 基本要求且其制造商已正确执行合格评定的产品投放市场。

Art. 3 No. 21 CRA： "进口商"是指在欧盟境内设立的、将标有欧盟境外自然人或法人名称或商标的含数字元素产品投放市场的任何自然人或法人。

1.4.2 BAUER GROUP 何时属于进口商？

BAUER GROUP 在以下情况下充当进口商：

从非欧盟制造商购买软件或硬件，并以其品牌在欧盟分销
从欧盟以外采购固件组件并集成到自有产品中，且该组件符合独立产品的条件
将来自第三国的 SaaS 产品作为本地部署软件在欧盟分销

区别

如果 BAUER GROUP 以自己的名义或品牌将第三国产品投放市场，则 BAUER GROUP 被视为制造商（而非进口商），并须承担 Art. 10 项下的全部制造商义务。

1.4.3 详细义务

1. 投放市场前的合规验证（Art. 15 第1款）

投放市场前，进口商必须确保：

[ ] 制造商已正确执行合格评定
[ ] 制造商已按照 Annex VII 编制技术文档
[ ] 产品带有 CE 标志
[ ] 产品附有欧盟符合性声明（或带 URL 的简化版本）
[ ] 制造商已在产品/文档中提供联系方式
[ ] 产品具有唯一标识（类型、批次、序列号）

2. 自身标识（Art. 15 第2款）

进口商必须在产品或其包装上标明：

其名称 / 商业名称 / 注册商标
其邮政地址和电子邮件

对于软件：在文档、用户界面或代码仓库中标明。

3. 存储和运输条件（Art. 15 第3款）

确保存储和运输不会损害合规性：

软件包的完整性保护（校验和、签名制品）
安全分发渠道（HTTPS、签名的代码仓库）
物流链中不得篡改固件/软件

4. 市场监控（Art. 15 第4款）

进口商必须：

监控产品是否持续合规
如怀疑不合规：采取纠正措施或停止分销
如存在严重风险：通知制造商和市场监管机构

5. 文档（Art. 15 第5款）

进口商必须持有欧盟符合性声明（副本）
技术文档必须应要求可供主管机构查阅
保留期限：投放市场后 10年

6. 与机构合作（Art. 15 第6款）

应市场监管机构要求，进口商必须：

提供所有必要的信息和文件
使用主管机构的语言（或主管机构接受的语言）
合作消除风险

7. 报告义务（Art. 15 第7款）

获悉被积极利用的漏洞或严重安全事件时：

立即通知制造商
如制造商未回应：直接向 ENISA 和国家 CSIRT 报告

1.4.4 进口商检查清单

投放市场前

[ ] 已识别和验证制造商（非欧盟）
[ ] CE 标志已存在
[ ] 已收到并审查欧盟符合性声明
[ ] 制造商的合格评定合理可信（按类别的模块）
[ ] 技术文档可用或可获取
[ ] 产品标识已存在（类型、版本、序列号）
[ ] 自身联系方式已标注在产品/文档中
[ ] 已从制造商处获取 SBOM（Art. 13 第23款）
[ ] 已定义并沟通支持期

持续性

[ ] 市场监控处于活跃状态（跟踪制造商漏洞通知）
[ ] 分发渠道完整性已保障
[ ] 已确保与主管机构的合作准备
[ ] 文档已归档（10年）

1.4.5 责任与处罚

违规行为	处罚
投放不合规产品	最高1500万欧元或全球年营业额的2.5%
缺少文档/标识	最高1000万欧元或年营业额的2%
向主管机构提供虚假/不完整信息	最高500万欧元或年营业额的1%

详情：处罚

1.10 市场监管 (Art. 52–58)

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

1.10 市场监管 (Art. 52–58)

1.10.1 概述

市场监管 (Market Surveillance) 确保欧盟市场上的产品符合 CRA 要求。法规 (EU) 2019/1020（市场监管条例）适用。制造商必须回应市场监管机构的请求并配合纠正措施。

法律依据

Art. 52 CRA： 法规 (EU) 2019/1020 适用于受 CRA 管辖的含数字元素产品。

Art. 53-58 CRA： 纠正措施、保障条款、形式不合格和欧盟保障条款的特定程序。

1.10.2 主管机构

国家	主管市场监管机构
德国	联邦网络局 (BNetzA) / BSI
奥地利	电信管理局 / RTR
全欧盟	由欧盟委员会协调

具体的职权分配将由成员国在2026年6月11日前确定。

1.10.3 市场监管机构的权力

信息请求（Art. 52）

主管机构可要求制造商提供：

技术文档（Annex VII）——典型期限：10个工作日
欧盟符合性声明
SBOM
合格评定的结果
源代码或源代码访问权限（在合理情况下）

产品测试

主管机构可以：

从市场上购买产品并进行测试
下令进行实验室测试和安全评估
委托进行渗透测试
将 SBOM 与已知漏洞进行比对检查

下令纠正措施

向用户发出警告
从市场上召回产品
停止分销
销毁产品（在严重情况下）

1.10.4 程序

Art. 53 -- 国家层面的纠正措施

主管机构确定不合格
    |
    +-- 通知制造商（附期限）
    |
    +-- 制造商有[合理期限]进行纠正
    |   +-- 已纠正 --> 程序结束
    |   +-- 未纠正 --> 下令措施
    |       +-- 停止分销
    |       +-- 召回
    |       +-- 通知欧盟委员会 + 其他成员国
    |
    +-- 存在严重危险时 --> 立即措施（无期限）

Art. 54 -- 保障条款程序（全欧盟）

当一个成员国采取措施且其他成员国受影响时：

成员国通知欧盟委员会
委员会审查该措施是否合理
如确认：所有成员国采取相同措施
如拒绝：成员国必须撤销该措施

Art. 55 -- 合规但存在风险的产品

即使是合规产品也可能存在风险（例如新的威胁态势）。在这种情况下：

主管机构可下令临时措施
制造商必须提供补救措施（补丁、警告、召回）
委员会可通过实施法案

Art. 56 -- 形式不合格

形式违规（无实质性风险）：

缺少 CE 标志
CE 标志粘贴不正确
欧盟符合性声明未编制或存在缺陷
技术文档不可用

制造商必须建立形式合规 如不合规：停止分销或召回

1.10.5 BAUER GROUP 义务

市场监管准备

措施	描述	状态
文档归档	所有技术文档可检索（10年）	本代码仓库
SBOM 归档	每个版本的 SBOM 已归档并签名	SBOM 与签名
联系人	指定的主管机构请求联系人	待指定
欧盟符合性声明	所有产品可用	按产品
召回流程	产品召回的文档化流程	待创建

主管机构请求的应对流程

步骤	期限	操作
1	立即	将请求转发给 CISO 和管理层
2	2个工作日	评估请求内容，确定负责团队
3	5个工作日	编制所请求的文档
4	10个工作日	向主管机构提交文档
5	按期限	实施纠正措施（如需要）
6	持续	记录措施并通知主管机构

召回流程

如果下令召回或自愿召回：

风险评估 -- 问题的严重性和范围
客户通知 -- 通过所有已知渠道
提供补丁 -- 发布安全更新
通知主管机构 -- 沟通措施和时间表
文档记录 -- 无遗漏地记录所有步骤
跟进 -- 监控补丁采用情况

另请参见：沟通计划

1.10.6 检查清单：市场监管准备就绪

[ ] 所有产品的技术文档已更新且可检索
[ ] 所有产品的欧盟符合性声明可用
[ ] 所有活跃产品版本的 SBOM 已归档
[ ] 已指定主管机构请求的联系人
[ ] 应对流程已记录且已知
[ ] 召回流程已记录
[ ] 所有文件均提供英文版（主管机构语言）
[ ] 源代码访问在技术上可行（用于合理请求）

1.9 不合规 (Art. 22–23)

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

1.9 不合规 (Art. 22–23)

1.9.1 概述

CRA 区分了形式不合格 (Formal Non-Conformity)（Art. 22）和存在重大网络安全风险的产品 (Products Presenting a Significant Cybersecurity Risk)（Art. 23）。这一区分至关重要：Art. 22 针对行政缺陷（缺少文件、标识不正确），而 Art. 23 则涉及实质性安全问题。两项条款均授权市场监管机构下令采取纠正措施，包括撤回或召回。

法律依据

Art. 22 CRA (EU) 2024/2847： 形式不合格的处理程序——市场监管机构要求经济运营方在规定期限内使产品达到合规状态。

Art. 23 CRA (EU) 2024/2847： 存在重大网络安全风险的产品的处理程序——当基本要求（Annex I）未在实质上得到满足时，主管机构下令采取纠正措施。

1.9.2 Art. 22 -- 形式不合格

市场监管机构在识别到以下形式缺陷时，应要求采取纠正行动：

形式缺陷	法律依据	示例
CE 标志未粘贴或粘贴不正确	Art. 29-30	产品或包装上缺少 CE 标志
欧盟符合性声明未编制或编制不正确	Art. 28, Annex V	符合性声明缺失或未包含所有强制性信息
技术文档不可用或不完整	Art. 31, Annex VII	无法在要求的时间内提供文档
制造商/进口商联系信息缺失	Art. 10(15), Art. 13(19)	产品上无名称、地址或联系方式
任何其他行政要求未满足	各条款	未标明支持期

程序

主管机构识别形式不合格
通知经济运营方并给予合理期限使产品达到合规状态
运营方在期限内修正缺陷
如不合格持续： 主管机构下令限制、撤回或召回

注意

形式缺陷可能看似微不足道，但可能导致立即停止分销。完整的文档必须随时可用。

1.9.3 Art. 23 -- 存在重大网络安全风险的产品

当含数字元素的产品存在重大网络安全风险时，适用升级程序：

市场监管机构进行基于风险的评估
发现重大风险后：下令在规定期限内采取纠正措施
制造商必须在期限内采取纠正行动
如未采取行动： 限制、撤回或召回产品

Art. 23 尤其适用于 Annex I 基本要求未在实质上得到满足的情况——例如缺少加密、已知漏洞未修补或更新机制不充分。

重大风险

重大网络安全风险可触发立即措施。与形式不合格不同，此处关注的是实际的用户安全。此外还可能依据 Art. 64 处以罚款（最高1500万欧元 / 营业额的2.5%）。

1.9.4 比较：Art. 22 与 Art. 23

标准	Art. 22 -- 形式不合格	Art. 23 -- 重大网络安全风险
主题	行政缺陷（文档、标识）	实质性安全缺陷（Annex I）
典型触发	缺少 CE 标志、不完整的符合性声明	未修补的漏洞、缺少加密
风险评估	不要求	主管机构进行基于风险的评估
纠正期限	合理期限	根据风险紧急程度设定期限
升级	停止分销、撤回	停止分销、撤回、召回
罚款风险	第二级（最高1000万欧元 / 2%）	第一级（最高1500万欧元 / 2.5%）

1.9.5 BAUER GROUP 的实际措施

检查清单：确保形式合规

[ ] 所有产品上正确粘贴 CE 标志（CE 标志）
[ ] 每个产品的欧盟符合性声明已编制且为最新版本（欧盟符合性声明）
[ ] 技术文档完整且可在10个工作日内提供
[ ] 产品或包装上有联系方式（名称、地址、电子邮件/URL）
[ ] 支持期已标明且可公开查阅

主管机构联络的应对程序

步骤	期限	负责人	操作
1	立即	接收人	将请求转发给 CISO 和法务部门
2	1个工作日	CISO	确定不合格类型（形式 vs. 实质）
3	3个工作日	专业团队	确定纠正措施并建立时间表
4	按期限	专业团队	实施纠正措施
5	实施后	CISO	向主管机构提交证据
6	持续	CISO	确保所有措施的文档记录

升级路径

收到主管机构请求
    |
    +-- CISO + 法务部门（初步评估，1个工作日）
    |
    +-- 形式不合格 (Art. 22)？
    |   +-- 是 --> 专业团队纠正（文件、标识）
    |   +-- 在期限内向主管机构提交证据
    |
    +-- 重大风险 (Art. 23)？
        +-- 是 --> 升级至高层管理
        +-- 立即进行风险评估
        +-- 必要时启动安全更新/召回
        +-- 如触发 Art. 14 则同步通知 ENISA

1.9.6 相关页面

CE 标志 -- 正确粘贴的要求
欧盟符合性声明 -- 符合性声明的内容和格式
市场监管 -- 主管机构程序和准备工作
处罚与罚款 -- 违规罚款框架

1.7 开源管理者 (Art. 18–19)

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

1.7 开源管理者 (Art. 18–19)

1.7.1 概述

CRA 引入了开源软件管理者 (Open Source Software Steward) 这一新角色。这涉及系统性地支持用于商业活动的开源软件开发的法人实体（如基金会、公司）。

法律依据

Art. 3 No. 16 CRA： "开源软件管理者"是指制造商以外的任何法人实体，其目的是在持续基础上系统性地为特定含数字元素的产品（属于自由和开源软件，且用于商业活动）的开发提供支持，并确保这些产品的市场可行性。

Art. 18 CRA： 开源软件管理者的义务。

Art. 19 CRA： 自由和开源软件的安全证明。

1.7.2 开源软件管理者角色何时适用？

要求（累积性）

法人实体（非自然人）
不是相关产品的制造商
系统性和持续性地支持开发
该开源软件产品用于商业活动
在确保市场可行性方面具有决定性作用

典型的开源软件管理者

开源基金会（Apache、Linux Foundation、Eclipse）
赞助和维护开源项目但自身不是制造商的公司
托管开源项目并提供其发布基础设施的组织

BAUER GROUP 何时不是开源软件管理者？

将开源库用作依赖项时 --> 仅对自有产品承担制造商义务
作为贡献者向开源项目贡献时 --> 不承担管理者角色
将自有代码发布为开源时 --> BAUER GROUP 此时是制造商，而非管理者

BAUER GROUP 何时可能成为开源软件管理者？

如果 BAUER GROUP 系统性地推动和维护来自外部社区的开源项目（例如，自有员工担任维护者、基础设施赞助）
如果 BAUER GROUP 设立管理开源项目的自有基金会

当前评估

根据目前的了解，BAUER GROUP 主要作为制造商（自有代码）和使用者（开源依赖项）。开源软件管理者角色当前不适用，但必须对新的开源参与进行审查。

1.7.3 开源软件管理者的义务（Art. 18）

尽管管理者角色的范围不如制造商全面，但以下义务适用：

1. 网络安全策略（Art. 18 第1款）

建立和实施文档化的网络安全策略
促进与市场监管机构的合作
支持软件的安全开发

2. 漏洞处理（Art. 18 第1款）

自愿向 ENISA 和国家 CSIRT 报告被积极利用的漏洞
促进协调漏洞披露 (CVD)
提供漏洞报告的联系点（SECURITY.md 或类似文件）

3. 与机构合作（Art. 18 第2款）

应要求：提供文档
协助消除安全风险
共享漏洞信息

4. 安全证明（Art. 19）

开源软件管理者可发起自愿安全证明：

记录已应用的网络安全实践
提供漏洞处理流程的证据
第三方证明（可选）

1.7.4 开源角色区分

角色	CRA 状态	义务
开源使用者（作为依赖项）	自有产品的制造商	对整体产品承担全部制造商义务
开源贡献者	无 CRA 角色	无直接 CRA 义务
开源维护者（自然人）	非管理者（需为法人实体）	无直接 CRA 义务
开源软件管理者（组织）	Art. 18-19 义务	有限义务（见上文）
开源制造商（商业性）	完全的制造商 (Art. 10)	全部制造商义务

1.7.5 对供应链的影响

对 BAUER GROUP 作为制造商的影响

即使 BAUER GROUP 不是开源软件管理者，开源软件管理者条款也有影响：

审查开源依赖项： 关键依赖项是否有开源软件管理者？
漏洞报告： 开源软件管理者自愿报告漏洞——主动跟踪这些报告
安全证明： 评估开源组件时，优先选择经认证的软件
风险评估： 没有管理者或活跃社区的开源软件 = 更高风险

参见：供应链安全和第三方评估

1.7.6 处罚

与制造商相比，开源软件管理者受到较低的处罚：

违规行为	最高处罚
未履行 Art. 18 义务	最高500万欧元或年营业额的1%

欧盟委员会在确定处罚时会考虑管理者活动的特殊角色和非商业性质。

1.7.7 相关发展

欧盟委员会将通过进一步规定安全证明的实施法案（Art. 19）
针对开源软件管理者的协调标准正在制定中
确切的界定将通过实践和判例法进一步澄清

1.11 处罚 (Art. 64)

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

1.11 处罚 (Art. 64)

1.11.1 概述

CRA 对违规行为规定了重大处罚。罚款参照 GDPR 框架，按违规行为的严重程度分级。罚款的确定和实施由成员国的国家市场监管机构负责。

法律依据

Art. 64 CRA： 成员国应制定处罚规则，并采取一切必要措施确保其执行。处罚应有效、相称且具有威慑力。

1.11.2 罚款框架

第一级 -- 严重违规（Art. 64 第2款）

最高1500万欧元或全球年营业额的2.5%（以较高者为准）

违反以下条款：

Art. 10 -- 制造商义务（基本要求、合格评定、技术文档）
Art. 13 -- 信息义务（SBOM、支持期、联系方式）
Art. 14 -- 报告义务（ENISA 24小时/72小时/14天）
Annex I -- 基本网络安全要求
Annex VII -- 技术文档

第二级 -- 其他违规（Art. 64 第3款）

最高1000万欧元或全球年营业额的2%

违反以下条款：

Art. 15 -- 进口商义务
Art. 17 -- 分销商义务
Art. 20 -- 实质性修改（未承担制造商义务）
Art. 24-28 -- 合格评定（未正式执行）

第三级 -- 虚假信息（Art. 64 第4款）

最高500万欧元或全球年营业额的1%

向主管机构提供虚假、不完整或误导性信息
拒绝与市场监管机构合作
阻碍检查

特别规定：开源软件管理者（Art. 64 第5款）

最高500万欧元或年营业额的1%

对开源软件管理者的减轻处罚
考虑非商业性质

1.11.3 概览表

违规类别	最高金额	典型触发因素
第一级	1500万欧元 / 2.5%	无 SBOM、未进行合格评定、未向 ENISA 报告、已知漏洞未修复
第二级	1000万欧元 / 2%	缺少 CE 标志、进口商未进行验证、无符合性声明
第三级	500万欧元 / 1%	向主管机构提供虚假信息、拒绝合作

1.11.4 评估标准

在确定罚款金额时，主管机构会考虑以下因素：

加重因素

违规严重性 -- 后果有多严重？
持续时间 -- 违规持续了多长时间？
故意性 -- 违规行为是否为故意？
重复性 -- 是否有先前的违规行为？
受影响用户 -- 有多少用户受到影响？
损害 -- 发生了什么实际损害？

减轻因素

合作 -- 积极与主管机构合作
自我报告 -- 自愿披露违规行为
纠正措施 -- 快速修复问题
合规计划 -- 可证明的合规管理
首次违规 -- 无先前违规记录
企业规模 -- 对中小企业的比例原则

1.11.5 与其他法规的比较

法规	最高罚款	计算方式
CRA	1500万欧元 / 2.5%	按违规行为
GDPR	2000万欧元 / 4%	按违规行为
NIS2	1000万欧元 / 2%	按违规行为
AI Act	3500万欧元 / 7%	按违规行为

1.11.6 风险最小化

合规作为保护

文档化并积极实施的合规计划可显著降低罚款风险。以下措施可作为减轻因素：

完整文档 -- 本手册及所有参考流程
主动报告 -- 遵守 ENISA 期限（报告流程）
积极的漏洞管理 -- CVE 监控、快速补丁（漏洞管理）
定期审计 -- 合规性的内部审查
培训 -- 员工了解 CRA 要求
合作准备 -- 主管机构请求的文档化流程（市场监管）

优先合规领域

最高罚款风险存在于：

优先级	领域	风险
1	被积极利用的漏洞未向 ENISA 报告	第一级
2	已知可利用的漏洞未修复	第一级
3	未创建 SBOM（Art. 13 第23款）	第一级
4	未执行合格评定	第一级
5	无技术文档（Annex VII）	第一级
6	未与主管机构合作	第三级

时间表

处罚条款自 11.12.2027（全面适用）起适用。Art. 14 项下的报告义务自 11.09.2026 起适用。

1.13 一般产品安全 (Art. 9)

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

1.13 一般产品安全 (Art. 9)

1.13.1 与一般产品安全法规 (GPSR) 的关系

网络弹性法案 (CRA) 是含数字元素产品网络安全要求的特别法 (Lex Specialis)。符合 CRA 基本网络安全要求（Annex I）的产品被视为符合一般产品安全法规 (EU) 2023/988 (GPSR) 的网络安全方面。

法律依据

Art. 9 CRA： 符合 Annex I 规定的基本要求的含数字元素产品，应被视为符合法规 (EU) 2023/988 (GPSR) 的网络安全要求。

序言第28条： CRA 补充了现有的欧盟产品安全立法，并与 GPSR、机械法规、无线电设备指令和行业特定立法保持一致。

GPSR 继续完全适用于所有非网络安全的安全方面。CRA 不取代现有的欧盟产品立法，而是以特定的网络安全要求对其进行补充。

1.13.2 界定表：CRA 与其他欧盟产品立法

立法	主题	与 CRA 的关系
CRA (EU) 2024/2847	含数字元素产品的网络安全要求	网络安全的特别法
GPSR (EU) 2023/988	消费品的一般产品安全	CRA 合规（Annex I）涵盖网络安全方面
RED 2014/53/EU	无线电设备（Art. 3(3)(d)(e)(f)）	授权法案将与 CRA 要求保持一致
机械法规 (EU) 2023/1230	机械安全	CRA 补充；机械安全仍然独立
医疗器械 (EU) 2017/745	医疗器械	不受 CRA 管辖（Art. 2(2)）
机动车辆 (EU) 2019/2144	车辆型式认证	不受 CRA 管辖（Art. 2(2)）
航空 (EU) 2018/1139	航空安全	不受 CRA 管辖（Art. 2(2)）

无重复监管

CRA 的设计旨在不重复现有的行业特定欧盟立法。已受行业特定网络安全要求约束的产品（医疗器械、机动车辆、航空）不受 CRA 管辖。对于所有其他产品，CRA 以网络安全维度补充现有的安全立法。

1.13.3 对 BAUER GROUP 的实际影响

原则

CRA 合规仅涵盖网络安全要求。所有其他产品安全要求（机械安全、电气安全、电磁兼容等）仍由各自的行业特定立法管辖。

产品特定场景

产品类型	适用立法	备注
物联网设备（如带无线电的传感器）	CRA + 可能的 RED	Art. 3(3) RED 授权法案将与 CRA 保持一致
工业控制器（PLC、HMI）	CRA + 可能的机械法规	网络安全通过 CRA，功能安全通过机械法规
软件产品	CRA + 可能的 GPSR	CRA 合规满足 GPSR 网络安全方面
医疗器械	仅 MDR – CRA 不适用	根据 Art. 2(2) 完全豁免

后续步骤

按 CRA 和适用的行业特定立法对产品进行分类
识别 CRA 与现有产品合规之间的差距
制定涵盖所有适用法规的综合合规策略

CRA 豁免和适用范围的完整概述：适用范围

1.2 角色与职责

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

1.2 角色与职责

1.2.1 CRA 法规下的角色

CRA 定义了三类经济运营方 (Economic Operators)，各有其义务：

制造商（Art. 10 CRA）

制造商对 CRA 合规承担主要责任。制造商是指开发或已开发含数字元素产品并以自己的名义或商标进行市场销售的任何人。

义务：

确保符合 Annex I
进行网络安全风险评估
编制技术文档（Annex VII）
进行合格评定 (Conformity Assessment)
发布欧盟符合性声明（Annex V）
粘贴 CE 标志
在支持期内处理漏洞
履行报告义务（Art. 14）
编制和维护 SBOM

进口商（Art. 13 CRA）

进口商 (Importer) 将欧盟外制造商的产品投放到欧盟市场。

义务：

确保制造商已履行其义务
验证符合性声明和技术文档
验证 CE 标志和制造商联系方式

分销商（Art. 14 CRA）

分销商 (Distributor) 在不制造或进口产品的情况下将产品提供到市场上。

义务：

尽职调查：验证 CE 标志和符合性声明
如发现不合格：停止提供该产品

授权代表 / 欧盟授权代表（Art. 16 CRA）

非欧盟制造商的义务

在欧盟境外设立的、将含数字元素产品投放欧盟市场的制造商必须指定一名欧盟境内的授权代表 (Authorised Representative)。没有授权代表，产品不得在欧盟市场上提供。

法律依据：

"制造商可通过书面委托指定授权代表。授权代表应执行与制造商商定的委托中规定的任务。" — Art. 16(1) CRA

何时需要授权代表？

情景	是否需要授权代表？
制造商在欧盟境内设立	否
制造商在欧盟境外设立，在欧盟销售	是
非欧盟制造商的欧盟子公司作为进口商	是（或由进口商承担义务）
开源软件管理者 (Art. 24)	特殊规定

授权代表的义务（Art. 16(2)）：

保存合规文档 – 将欧盟符合性声明和技术文档保存至少10年，以供市场监管机构查阅
告知义务 – 根据合理请求，向主管机构提供证明合规所需的所有信息和文档
合作义务 – 与市场监管机构合作，采取措施消除风险
不合格报告义务 – 如授权代表有理由认为产品不合格，应立即通知制造商
委托终止 – 委托终止后，义务仍适用于已投放市场的产品

书面委托的要求：

委托必须至少涵盖以下任务：

任务	描述
文件保留	保留技术文档和欧盟符合性声明10年
机构联络	作为市场监管机构的联系点
信息提供	应要求提供委托书副本
合作	参与纠正措施和召回

对 BAUER GROUP 的相关性：

情景	需要的操作
BAUER GROUP 作为欧盟制造商	不需要授权代表——直接适用制造商义务
BAUER GROUP 从非欧盟制造商采购	验证义务：供应商是否有授权代表？--> 6.3 第三方评估
非欧盟子公司在欧盟销售	必须指定欧盟境内的授权代表
BAUER GROUP 作为进口商	适用 Art. 13 项下的进口商义务（验证 CE + 文档）

实用提示

从非欧盟制造商采购含数字元素的产品时，必须在第三方评估中（--> 6.3）验证供应商是否已指定欧盟授权代表。这是在欧盟境内合法投放市场的前提条件。

1.2.2 内部角色分配

角色	职责	CRA 参考
安全负责人	CRA 合规的总体责任，ENISA 通知，事件响应	Art. 10, Art. 14
产品负责人	产品分类，支持期，用户信息	Art. 10(16), Annex II
DevOps 负责人	SBOM 生成，签名，CI/CD 流水线维护	Art. 10(12), Art. 13(23)
开发团队	安全设计，漏洞修复，代码审查	Art. 10(1)
质量保证 / 发布经理	合格评定，发布审批	Annex VII
管理层	资源分配，升级决策	Art. 10(2)

1.2.3 RACI 矩阵

活动	安全负责人	产品负责人	DevOps	开发团队	管理层
CRA 风险评估	R	C	I	C	A
SBOM 生成	I	I	R	C	A
CVE 监控	R	I	C	I	A
补丁管理	C	I	C	R	A
事件响应	R	C	C	C	A
ENISA 通知	R	I	I	I	A
技术文档	C	R	C	C	A
欧盟符合性声明	C	R	I	I	A
支持期定义	C	R	I	I	A

R = 负责执行 (Responsible)，A = 最终责任人 (Accountable)，C = 被咨询 (Consulted)，I = 被告知 (Informed)

1.1 适用范围

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

1.1 适用范围

1.1.1 适用范围

根据 Art. 2 CRA，本法规适用于在欧盟市场上提供的含数字元素的产品 (Products with Digital Elements)，其预期用途或合理可预见用途包含直接或间接的数据连接。

1.1.2 受影响的产品类别

软件产品

类别	示例	CRA 相关
Web 应用	API、前端、微服务	是
容器镜像	基于 Docker 的服务	是
桌面应用	.NET WPF/WinForms, MAUI	是
NPM 包	公开发布的库	是
NuGet 包	.NET 库	是

固件 / 嵌入式

类别	平台	CRA 相关
ESP32 固件	ESP-IDF, Arduino	是
STM32 固件	HAL, CMSIS	是
Zephyr RTOS	Zephyr OS	是
PlatformIO 构建	跨平台	是

基础设施

类别	示例	CRA 相关
Docker Compose 栈	多容器部署	是（作为产品的一部分）
CI/CD 流水线	GitHub Actions 工作流	否（内部工具）

1.1.3 豁免（Art. 2(2) CRA）

以下不受 CRA 管辖：

非在商业活动过程中提供的开源软件
SaaS 服务（受 NIS2 管辖，不受 CRA 管辖）——除非远程数据处理是产品的组成部分
受行业特定欧盟法规约束的产品（如医疗器械、机动车辆、航空）

1.1.4 产品目录

需要行动

对于每个 CRA 相关产品，必须进行单独的分类和记录。请使用产品描述模板作为基础。

产品目录按产品逐一维护。每个产品需包含：

唯一标识符（产品名称 + 版本）
CRA 产品类别（标准 / I 类 / II 类 / 关键）
支持期（至少5年或预期使用寿命）
负责人（产品负责人 / 安全负责人）
SBOM 参考（当前 SBOM 的链接）
符合性声明（欧盟符合性声明 (EU DoC) 的链接）

1.8 实质性修改 (Art. 20)

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

1.8 实质性修改 (Art. 20)

1.8.1 概述

对含数字元素产品的实质性修改 (Substantial Modification) 可能导致进行修改的人被视为新的制造商，从而必须承担 Art. 10 项下的全部制造商义务。Art. 20 CRA 定义了何时修改被视为"实质性的"以及由此产生的后果。

法律依据

Art. 20 CRA： 对已投放市场的含数字元素产品进行实质性修改的任何自然人或法人，应被视为本法规意义上的制造商。

Art. 3 No. 31 CRA： 实质性修改的定义。

1.8.2 定义：实质性修改

如果同时满足以下所有条件，则修改被视为实质性的：

修改影响产品的网络安全
修改超出原制造商预期的维护和安全更新范围
修改使现有的合格评定不再有效

1.8.3 决策树

产品投放市场后是否被修改？
+-- 否 --> 无影响
+-- 是 --> 修改是否影响网络安全？
    +-- 否 --> 非实质性修改
    +-- 是 --> 修改是否超出预期更新范围？
        +-- 否 --> 非实质性修改（常规更新）
        +-- 是 --> 现有合格评定是否失效？
            +-- 否 --> 非实质性修改
            +-- 是 --> 实质性修改
                --> 进行修改的人成为制造商

1.8.4 示例

非实质性修改

制造商提供的安全补丁和缺陷修复
在预期设置范围内的配置变更
将依赖项更新到补丁版本（例如 1.2.3 --> 1.2.4）
部署参数的调整
语言包或本地化

实质性修改（潜在）

更改认证机制（例如，密码 --> OAuth --> 自定义实现）
移除安全功能（例如，禁用加密）
更改网络架构，打开新的攻击向量
集成新的安全相关组件（例如，自定义加密栈）
移植到新平台，具有不同的安全模型
核心依赖项的主版本升级，改变了安全属性

1.8.5 实质性修改的后果

进行实质性修改的人必须：

1. 承担制造商义务（Art. 10）

进行网络安全风险评估（针对修改部分）
创建/更新技术文档（Annex VII）
确保漏洞处理（Annex I 第二部分）
定义支持期

2. 进行新的合格评定

进行产品分类（也针对修改部分）
选择适当的合格评定程序
- 标准产品的 Module A
- I/II 类产品的 Module B+C
- II 类产品的 Module H
- 关键产品的 EUCC

3. 新的欧盟符合性声明

为修改后的产品发布欧盟符合性声明
粘贴 CE 标志（以自己的名义）

4. ENISA 报告义务

报告修改后产品中的漏洞（Art. 14）
遵守 24小时/72小时/14天期限

1.8.6 BAUER GROUP 流程

对第三方产品进行任何修改前的审查

步骤	操作	负责人
1	记录修改（修改了什么？）	开发团队
2	评估网络安全相关性	CISO
3	检查修改是否在制造商的预期范围内	产品管理
4	检查合格评定是否仍然有效	CISO
5	决定：是否为实质性修改	CISO + 管理层
6	记录决定（附理由）	CISO

如果"是——实质性修改"

步骤	操作
7	进行风险评估（模板）
8	进行产品分类
9	进行合格评定
10	创建技术文档
11	发布欧盟符合性声明
12	定义支持期

1.8.7 文档

每个修改决定都需记录：

修改描述 -- 修改了什么，为什么
网络安全分析 -- 对安全的影响是什么
实质性评估 -- 附理由的决定
措施 -- 采取了哪些步骤（或为何不需要采取措施）
负责人和日期

文档义务

修改非实质性的决定也必须记录。在争议情况下，BAUER GROUP 必须能够证明已进行了审查。

1.3 时间表与截止日期

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

1.3 时间表与截止日期

1.3.1 CRA 时间表

网络弹性法案（法规 (EU) 2024/2847）于2024年11月20日在《欧盟官方公报》上发布，并于2024年12月10日生效。

关键截止日期

日期	要求	状态
10.12.2024	CRA 生效	已完成
11.06.2026	必须指定合格评定机构	准备中
11.09.2026	报告义务生效 – Art. 14 CRA（被积极利用的漏洞、严重事件）	需要行动
11.12.2027	全面适用 – 所有要求，包括合格评定、CE 标志、技术文档	需要行动

自2026年9月11日起的报告义务

自2026年9月11日起，被积极利用的漏洞 (Actively Exploited Vulnerabilities) 必须在24小时内向 ENISA / 有管辖权的国家机构报告。事件响应流程必须在此日期前全面运行。

详细时间表

第一阶段：准备期（至2026年6月11日）

创建产品目录并进行 CRA 分类
建立和验证 SBOM 流程
创建和测试事件响应手册
准备 ENISA 通知模板
实施 CVE 监控工作流

第二阶段：报告义务期（自2026年9月11日起）

报告流程必须可运行
使用 ENISA 统一报告平台 (SRP)
被积极利用漏洞的24小时早期预警
72小时包含详细评估的通知
14天最终报告

第三阶段：全面合规期（自2027年12月11日起）

符合 Annex VII 的技术文档完整
每个产品的欧盟符合性声明（Annex V）
CE 标志
已完成合格评定
已声明并公布支持期
每个发布的产品均有可用的 SBOM
已按照 Annex II 提供用户信息

1.3.2 NIS2 时间表

日期	要求
17.10.2024	成员国的 NIS2 转化期限
持续	根据 Art. 23 NIS2 对重大安全事件的报告义务

1.3.3 内部实施时间表

季度	措施
2026年第一季度	构建合规文档，验证 SBOM 流程
2026年第二季度	测试事件响应手册，最终确定 ENISA 通知模板
2026年第三季度	报告义务运行就绪（截止日期：11.09.2026）
2026年第四季度	开始按产品编制技术文档
2027年第一至二季度	准备合格评定，创建欧盟符合性声明
2027年第三季度	合格评定试运行，准备 CE 标志
2027年第四季度	全面合规（截止日期：11.12.2027）

2.2 格式规范

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

2.2 格式规范

2.2.1 CycloneDX JSON

我们使用 CycloneDX 作为主要的 SBOM 格式。CycloneDX 是一项 OWASP 标准，满足 CRA 对"常用的、机器可读的格式"的要求 (Art. 13(23))。

为什么选择 CycloneDX

标准	CycloneDX	SPDX
主要关注点	安全与合规	许可证与知识产权
漏洞追踪	原生支持 (VEX)	通过扩展
工具支持	Trivy, Syft, Grype	Trivy, Syft
OWASP 标准	是	否（Linux 基金会）
CRA 合规	是	是
复杂度	较低	较高

结构

CycloneDX SBOM 包含以下主要元素：

json

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:<unique-id>",
  "version": 1,
  "metadata": {
    "timestamp": "2026-02-08T12:00:00Z",
    "tools": {
      "components": [
        {
          "type": "application",
          "name": "trivy",
          "version": "0.58.0"
        }
      ]
    },
    "component": {
      "type": "application",
      "name": "product-name",
      "version": "1.2.3",
      "supplier": {
        "name": "BAUER GROUP"
      }
    }
  },
  "components": [
    {
      "type": "library",
      "name": "example-package",
      "version": "4.1.0",
      "purl": "pkg:npm/example-package@4.1.0",
      "licenses": [
        {
          "license": {
            "id": "MIT"
          }
        }
      ],
      "hashes": [
        {
          "alg": "SHA-256",
          "content": "abc123..."
        }
      ]
    }
  ],
  "dependencies": [
    {
      "ref": "product-name",
      "dependsOn": ["example-package"]
    }
  ]
}

必填字段

字段	CRA 相关性	描述
`bomFormat`	格式标识	必须为 `CycloneDX`
`specVersion`	标准符合性	至少为 `1.5`
`serialNumber`	唯一性	每个 SBOM 实例的 UUID
`metadata.timestamp`	可追溯性	生成时间戳
`metadata.component`	产品标识	产品名称和版本
`metadata.component.supplier`	制造商标识	BAUER GROUP
`components[].name`	组件标识	软件包/库名称
`components[].version`	版本追踪	精确版本
`components[].purl`	唯一引用	软件包 URL（推荐）

文件命名约定

sbom-<product>-<version>.cdx.json

示例：
sbom-api-gateway-v2.1.0.cdx.json
sbom-firmware-esp32-v1.3.2.cdx.json
sbom-web-frontend-v4.0.1.cdx.json

SBOM 版本控制

产品的每个新版本都有其独立的 SBOM。当针对同一产品版本重新生成 SBOM 时（例如，修正 SBOM 本身时），SBOM 版本（version 字段）会递增。

2.2.2 SPDX（次要格式）

SPDX 作为次要格式受到支持，主要用于业务合作伙伴或监管机构明确要求 SPDX 的场景。

bash

# SPDX 生成
trivy image --format spdx-json --output sbom.spdx.json <image>:<tag>

2.1 SBOM 生成

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

2.1 SBOM 生成

2.1.1 生成流程

SBOM 随每次发布自动生成。该流程已集成到现有的 CI/CD 流水线中。

触发器

SBOM 生成由以下事件触发：

推送发布标签 (v*.*.*)
手动工作流触发 (workflow dispatch)
PR 合并到主分支（作为预发布版本）

生成步骤

1. 创建构建制品

发布制品（容器镜像、二进制文件、软件包）按常规方式构建。

2. 生成 SBOM

bash

# 容器镜像 SBOM
trivy image --format cyclonedx --output sbom.cdx.json <image>:<tag>

# 文件系统/源代码 SBOM
syft packages dir:. --output cyclonedx-json=sbom.cdx.json

# 替代方案：Trivy 文件系统
trivy fs --format cyclonedx --output sbom.cdx.json .

3. 验证 SBOM

bash

# 结构验证
trivy sbom sbom.cdx.json --exit-code 0

# 检查完整性（组件数 > 0）
jq '.components | length' sbom.cdx.json

4. 丰富元数据

SBOM 将被丰富以下元数据：

产品名称和版本
构建时间戳
构建环境（GitHub Actions 运行器）
提交 SHA
制造商信息 (BAUER GROUP)

2.1.2 特定类型的生成

Docker/容器镜像

yaml

# 在 docker-build.yml 中
inputs:
  generate-sbom:
    default: true
  sbom-format:
    default: 'cyclonedx-json'

Trivy 扫描已构建的容器镜像并捕获：

操作系统软件包 (apt, apk, yum)
语言特定软件包 (npm, pip, go modules 等)
二进制依赖项

.NET 项目

bash

# NuGet 依赖项
syft packages dir:. --output cyclonedx-json=sbom.cdx.json
# 或：CycloneDX .NET 工具
dotnet tool install --global CycloneDX
dotnet CycloneDX <project>.csproj --output sbom.cdx.json --json

Node.js 项目

bash

# NPM 依赖项
syft packages dir:. --output cyclonedx-json=sbom.cdx.json
# 或：CycloneDX Node 模块
npx @cyclonedx/cyclonedx-npm --output-file sbom.cdx.json

Python 项目

bash

# pip/poetry 依赖项
syft packages dir:. --output cyclonedx-json=sbom.cdx.json
# 或：CycloneDX Python
pip install cyclonedx-bom
cyclonedx-py environment --output-format json > sbom.cdx.json

固件 / 嵌入式 (ESP32, STM32, Zephyr)

bash

# PlatformIO 项目
syft packages dir:. --output cyclonedx-json=sbom.cdx.json

# Zephyr (west manifest)
# 用于提取 west.yml 依赖项的自定义脚本

嵌入式注意事项

对于固件项目，自动 SBOM 生成通常是不完整的。需要对 SBOM 进行手动审查，并在必要时进行补充，特别是针对：

厂商 SDK (ESP-IDF, STM32 HAL)
静态链接库
引导加载程序组件

2.1.3 质量标准

生成的 SBOM 必须满足以下最低要求：

标准	要求
格式	CycloneDX JSON（版本 1.5+）
规范版本	`1.5` 或更高
元数据	产品名称、版本、时间戳、制造商
组件	至少包含顶层依赖项
许可证	每个组件的许可证 ID（如有）
哈希值	每个组件的 SHA256 哈希（如有）
验证	符合架构、可解析、非空

第2章：SBOM 与签名

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

第2章：SBOM 与签名

概述

软件物料清单 (Software Bill of Materials, SBOM) 和软件制品的签名是 CRA 合规的核心支柱。SBOM 提供了产品中包含的所有组件的透明清单，而签名则确保 SBOM 本身及所有交付制品的完整性 (Integrity) 和真实性 (Authenticity)。

法律依据

Art. 13(23) CRA: "制造商应识别和记录含有数字元素的产品中的漏洞和组件，包括以常用的、机器可读的格式编制软件物料清单，至少涵盖产品的顶层依赖项。"

Art. 10(12) CRA: "制造商应确保向用户提供的安全更新以安全的方式分发，并在安装此类安全更新时确保产品的完整性。"

Annex I, Part I, No. 3: "含有数字元素的产品 [...] 应确保对存储、传输或以其他方式处理的数据 [...] 的完整性保护，防止篡改或更改。"

SBOM 生命周期

根据 Art. 13(23) CRA，制造商必须创建至少涵盖产品顶层依赖项的 SBOM。SBOM 随每次发布自动生成，并经历以下生命周期：

发布触发器 (Git Tag)
    |
    v
构建制品
    |
    v
生成 SBOM (Trivy/Syft -> CycloneDX JSON)
    |
    |-->  将 SBOM 作为发布资产附加
    |-->  签名 SBOM (Cosign)
    |-->  生成 SHA256 哈希
    |-->  将哈希 + 签名作为发布资产附加
    +-->  归档 SBOM (合规仓库)

签名架构

发布过程中产生的所有制品均经过签名，以保证完整性和真实性。签名架构覆盖每个交付物：

构建流水线
    |
    +-- 构建制品 (二进制文件、镜像、固件)
    |   +-- 生成 SHA256 哈希
    |   +-- 使用 Cosign 签名
    |
    +-- SBOM (CycloneDX JSON)
    |   +-- 生成 SHA256 哈希
    |   +-- 使用 Cosign 签名
    |
    +-- 发布
        +-- 制品 + 签名 + 哈希
        +-- SBOM + 签名 + 哈希
        +-- 公钥 (cosign.pub)
        +-- SHA256SUMS.txt

要求

要求	实现方式	CRA 条款
机器可读的 SBOM 格式	CycloneDX JSON	Art. 13(23)
顶层依赖项	通过 Syft/Trivy 自动检测	Art. 13(23)
每次发布的 SBOM	每个发布标签生成 SBOM	最佳实践
完整性保护	使用 Cosign 签名（所有制品和 SBOM）	Art. 10(12)
可追溯性	Git 历史 + 发布资产	Annex VII
可用性	归档至合规仓库 + 发布资产	Art. 13(23)

签名制品类型

制品	签名方式	工具	状态
Docker/容器镜像	Cosign（镜像签名）	`docker-build.yml`	已实现
发布二进制文件	Cosign（Blob 签名）	`cra-release.yml`	已实现
SBOM	Cosign（Blob 签名，无密钥 OIDC）	`cra-release.yml` / `cra-sbom-sign`	已实现
固件二进制文件	Cosign（Blob 签名）	构建工作流	计划中

工具

工具	功能	格式
Trivy	从容器镜像和文件系统生成 SBOM	CycloneDX, SPDX
Syft	从源代码和二进制文件生成 SBOM	CycloneDX, SPDX
Cosign	制品和 SBOM 的签名与验证	Sigstore
GitHub Actions	生成、签名和归档的自动化	-

工作流集成

SBOM 生成和签名通过两种路径执行：

1. 自动化模板（现有）： SBOM 生成通过 modules-license-compliance.yml 模块集成到现有的发布工作流 (automatic-release.yml) 中。

yaml

# 在工作流调用中激活
license-compliance:
  generate-sbom: true
  sbom-format: cyclonedx-json

2. CRA 合规工作流（新增）： 专用的 CRA 发布工作流负责 SBOM 的生成、签名和归档为发布资产——独立于现有的发布工作流。

yaml

# 在任何仓库中使用（零配置）
jobs:
  cra-release:
    uses: bauer-group/SEC-CRACompliance/.github/workflows/cra-release.yml@main
    permissions:
      contents: write
      id-token: write
      security-events: write

该工作流使用组合动作 cra-sbom-generate（Trivy，自动检测）和 cra-sbom-sign（Cosign，无密钥 OIDC）。

章节结构

章节	主题	描述
1	SBOM 生成	生成流程、触发器和特定类型的工具
2	格式规范	CycloneDX JSON 格式、必填字段和命名约定
3	归档与保留	存储位置、保留策略和访问
4	签名	SBOM 签名、制品签名和 Cosign 流程
5	密钥管理	密钥生成、存储、轮换和应急流程
6	验证	面向最终用户、系统和监管机构的验证流程

2.5 密钥管理

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

2.5 密钥管理

2.5.1 密钥管理

加密密钥的安全管理对于签名流程的完整性至关重要。

2.5.2 密钥类型

密钥	类型	存储位置	用途
Cosign 私钥	Ed25519 / ECDSA P-256	GitHub Secrets	制品签名
Cosign 密码	密码	GitHub Secrets	保护私钥
Cosign 公钥	Ed25519 / ECDSA P-256	仓库 (`cosign.pub`)	用户验证

2.5.3 密钥生成

bash

# 生成新的密钥对
cosign generate-key-pair

# 结果：
# cosign.key  → 私钥（密码保护）
# cosign.pub  → 公钥

2.5.4 密钥存储

私钥

私钥仅存储在 GitHub Secrets 中：

Secret 名称： COSIGN_PRIVATE_KEY
访问权限： 仅限 GitHub Actions 工作流
保护方式： GitHub Secrets 加密（Libsodium sealed box）
可见性： 永不出现在日志中，永不出现在代码中

密码

Secret 名称： COSIGN_PASSWORD
访问权限： 仅与 COSIGN_PRIVATE_KEY 配合使用

公钥

存储位置： 仓库根目录 (cosign.pub)
可用性： 公开
用途： 供用户和系统进行验证

2.5.5 密钥轮换

触发条件	操作	期限
每年	例行轮换	每 12 个月
怀疑泄露	立即轮换	不得延迟
人员变动	审查并在必要时轮换	7 天内
安全事件	作为事件响应 (Incident Response) 的一部分进行轮换	按应急手册执行

轮换流程

1. 生成新的密钥对
   └── cosign generate-key-pair

2. 更新 GitHub Secrets
   ├── COSIGN_PRIVATE_KEY → 新私钥
   └── COSIGN_PASSWORD → 新密码

3. 更新仓库中的公钥
   └── cosign.pub → 新公钥

4. 归档旧公钥
   └── keys/cosign-<date>.pub.archived

5. 更新文档
   ├── 轮换日期
   ├── 密钥指纹
   └── 轮换原因

6. 验证
   └── 执行测试签名和验证

2.5.6 密钥泄露时的应急流程

立即： 轮换 GitHub Secrets（新密钥对）
1 小时内： 识别自泄露以来签名的所有发布
4 小时内： 使用新密钥重新签名受影响的发布
24 小时内： 通知用户密钥变更
文档记录： 在事件报告 (Incident Report) 中记录该事件

2.5.7 访问权限

角色	私钥	公钥	密钥轮换
安全负责人 (Security Lead)	管理（GitHub Secrets）	读取	执行
DevOps 负责人	无直接访问（仅通过工作流）	读取	支持
开发团队	无访问权限	读取	无访问权限
GitHub Actions	读取（运行时）	读取	无访问权限

2.4 签名

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

2.4 签名

2.4.1 概述

签名确保发布过程中产生的所有制品的完整性和真实性。包括 SBOM、容器镜像、发布二进制文件和固件。所有签名操作使用 Cosign (Sigstore)，它支持基于密钥的签名和无密钥签名 (Keyless Signing)。

法律依据

Art. 10(12) CRA: 制造商必须确保安全更新及相关信息（包括 SBOM）"以安全的方式提供，并保证完整性"。

2.4.2 工具：Cosign (Sigstore)

Cosign 是 BAUER GROUP 生态系统中的主要签名工具。它是 Sigstore 项目的一部分，支持：

基于密钥的签名 —— 使用存储在 GitHub Secrets 中的私钥
无密钥签名 —— 通过 Sigstore/Fulcio 使用基于 OIDC 的身份验证（适用于公开项目）

Cosign 在整个 CI/CD 流水线中集成：容器镜像签名 (docker-build.yml)、SBOM 签名以及二进制文件/固件签名 (cra-release.yml)。

2.4.3 签名流程

1. 容器镜像签名

容器镜像在注册表中直接签名。这已在 docker-build.yml 工作流中实现。

bash

# 签名镜像
cosign sign --key env://COSIGN_PRIVATE_KEY <registry>/<image>@<digest>

# 验证镜像
cosign verify --key cosign.pub <registry>/<image>@<digest>

工作流集成（现有）：

yaml

# docker-build.yml
inputs:
  sign-image:
    description: 'Sign image with cosign'
    default: true
    type: boolean

2. SBOM 签名

签名 SBOM 可确保：

SBOM 在事后未被更改（完整性）
SBOM 来源于 BAUER GROUP（真实性）
与发布的关联可验证（不可否认性）

基于密钥的签名

bash

# 1. 签名 SBOM（分离签名）
cosign sign-blob \
  --key env://COSIGN_PRIVATE_KEY \
  --output-signature sbom.cdx.json.sig \
  --output-certificate sbom.cdx.json.cert \
  sbom.cdx.json

# 2. 生成 SHA256 哈希
sha256sum sbom.cdx.json > sbom.cdx.json.sha256

# 3. 验证签名
cosign verify-blob \
  --key cosign.pub \
  --signature sbom.cdx.json.sig \
  sbom.cdx.json

无密钥签名 (Sigstore/Fulcio)

对于公开项目，可使用通过 Sigstore 的无密钥签名：

bash

# 无密钥签名（基于 OIDC）
cosign sign-blob \
  --output-signature sbom.cdx.json.sig \
  --output-certificate sbom.cdx.json.cert \
  sbom.cdx.json

# 无密钥验证
cosign verify-blob \
  --certificate sbom.cdx.json.cert \
  --certificate-identity workflow@github.com \
  --certificate-oidc-issuer https://token.actions.githubusercontent.com \
  --signature sbom.cdx.json.sig \
  sbom.cdx.json

3. 二进制文件/Blob 签名

Blob 签名用于发布二进制文件和其他非容器制品：

bash

# 签名二进制文件
cosign sign-blob \
  --key env://COSIGN_PRIVATE_KEY \
  --output-signature artifact.sig \
  artifact.bin

# 验证二进制文件
cosign verify-blob \
  --key cosign.pub \
  --signature artifact.sig \
  artifact.bin

4. 固件签名

针对固件制品 (ESP32, STM32, Zephyr)：

bash

# 签名固件
cosign sign-blob \
  --key env://COSIGN_PRIVATE_KEY \
  --output-signature firmware.bin.sig \
  firmware.bin

# 用于 OTA 验证的 SHA256
sha256sum firmware.bin > firmware.bin.sha256

2.4.4 OTA 安全

对于通过 OTA（空中下载，Over-The-Air）进行的固件更新，适用以下额外要求：

设备上的签名验证 —— 设备在安装前验证 Cosign 签名
哈希验证 —— 在传输前后验证 SHA256 哈希
回滚保护 —— 防回滚计数器防止安装旧的（不安全的）版本
安全启动链 (Secure Boot Chain) —— 仅当签名链至信任根 (Root-of-Trust) 有效时才执行固件

2.4.5 供应链证明 (Supply Chain Attestation)

除签名外，还支持 SLSA 兼容的证明：

bash

# 创建构建证明
cosign attest \
  --key env://COSIGN_PRIVATE_KEY \
  --predicate build-provenance.json \
  --type slsaprovenance \
  <registry>/<image>@<digest>

2.4.6 GitHub Actions 集成

yaml

# 每个发布工作流中的签名步骤
steps:
  - name: Install Cosign
    uses: sigstore/cosign-installer@v3

  - name: Sign Container Image
    if: inputs.sign-image
    run: cosign sign --key env://COSIGN_PRIVATE_KEY ${{ env.IMAGE }}@${{ env.DIGEST }}

  - name: Sign SBOM
    env:
      COSIGN_PRIVATE_KEY: ${{ secrets.COSIGN_PRIVATE_KEY }}
      COSIGN_PASSWORD: ${{ secrets.COSIGN_PASSWORD }}
    run: |
      cosign sign-blob \
        --key env://COSIGN_PRIVATE_KEY \
        --output-signature sbom.cdx.json.sig \
        sbom.cdx.json

  - name: Sign Binary
    if: inputs.sign-binary
    run: cosign sign-blob --key env://COSIGN_PRIVATE_KEY --output-signature artifact.sig artifact.bin

  - name: Generate Checksums
    run: sha256sum artifact.bin sbom.cdx.json > SHA256SUMS.txt

  - name: Upload Release Assets
    uses: softprops/action-gh-release@v2
    with:
      files: |
        sbom.cdx.json
        sbom.cdx.json.sig
        sbom.cdx.json.sha256

2.4.7 密钥管理

所有签名操作的密钥均按照密钥管理策略进行管理：

私钥：GitHub Secrets (COSIGN_PRIVATE_KEY)
密码：GitHub Secrets (COSIGN_PASSWORD)
公钥：在仓库中发布 (cosign.pub)
密钥轮换：每年一次或在怀疑泄露时

2.4.8 签名后的发布资产

Release v2.1.0
+-- product-v2.1.0.tar.gz                <- 构建制品
+-- product-v2.1.0.tar.gz.sig            <- 制品签名
+-- sbom-product-v2.1.0.cdx.json         <- SBOM
+-- sbom-product-v2.1.0.cdx.json.sig     <- SBOM 签名
+-- sbom-product-v2.1.0.cdx.json.sha256  <- SBOM 哈希
+-- cosign.pub                            <- 公钥
+-- SHA256SUMS.txt                        <- 所有哈希

2.3 归档与保留

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

2.3 归档与保留

2.3.1 归档策略

SBOM 在三个位置进行归档，以确保可用性和可追溯性。

1. GitHub 发布资产（主要）

每个 GitHub 发布都包含 SBOM 作为资产：

Release v2.1.0
├── product-v2.1.0-linux-amd64.tar.gz
├── product-v2.1.0-linux-amd64.tar.gz.sig    <- Cosign 签名
├── sbom-product-v2.1.0.cdx.json              <- SBOM
├── sbom-product-v2.1.0.cdx.json.sig          <- SBOM 签名
└── SHA256SUMS.txt                             <- 校验和

优势：

与发布直接关联
可公开访问（针对公开仓库）
版本化且不可变
通过 GitHub REST API 进行 API 访问

2. 合规仓库（次要）

本仓库 (CRA-Compliance) 包含 SBOM 归档：

sbom/
├── product-a/
│   ├── sbom-product-a-v1.0.0.cdx.json
│   ├── sbom-product-a-v1.1.0.cdx.json
│   └── sbom-product-a-v2.0.0.cdx.json
├── product-b/
│   ├── sbom-product-b-v3.0.0.cdx.json
│   └── sbom-product-b-v3.1.0.cdx.json
└── firmware-esp32/
    ├── sbom-firmware-esp32-v1.0.0.cdx.json
    └── sbom-firmware-esp32-v1.1.0.cdx.json

优势：

所有产品 SBOM 的集中概览
Git 历史记录作为审计跟踪
CVE 监控可集中扫描所有 SBOM

3. GitHub Actions 制品（短期）

构建制品作为 GitHub Actions 制品存储（保留 90 天）。

优势：

构建后立即可用
用于临时分析和调试

2.3.2 保留策略

存储位置	保留期限	依据
GitHub 发布资产	无限期（仓库存续期间）	监管证据 (Art. 10(13) CRA：10 年或产品生命周期，以较长者为准)
合规仓库 (sbom/)	最后一次产品部署后 10 年	Art. 10(13) CRA
GitHub Actions 制品	90 天	调试和分析

保留期限

Art. 10(13) CRA: 技术文档和欧盟符合性声明 (EU Declaration of Conformity) 应在产品投放市场后保留 10 年，或在支持期间内保留——以较长者为准。

SBOM 作为技术文档的一部分，受此保留期限约束。

2.3.3 完整性保护

每个归档的 SBOM 通过以下措施进行保护：

SHA256 哈希 —— 完整性验证
Cosign 签名 —— 真实性证明
Git 历史记录 —— 不可篡改性证明
分支保护 —— 防止未经授权的修改

bash

# 完整性验证
sha256sum -c SHA256SUMS.txt

# 签名验证
cosign verify-blob --key cosign.pub --signature sbom.cdx.json.sig sbom.cdx.json

2.3.4 访问与提供

面向监管机构 / 市场监督管理机构

SBOM 应要求提供 (Art. 13(23) CRA)：

通过 GitHub 发布资产访问（针对公开仓库）
直接下载链接
应要求作为电子邮件附件提供

内部使用

CVE 监控工作流使用合规仓库中的 SBOM
安全团队对所有 SBOM 具有读取权限
通过 GitHub API 进行仪表盘集成

2.6 验证

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

2.6 验证

2.6.1 验证流程

验证确保交付的制品是真实的且未被篡改。用户和系统可以随时验证完整性。

2.6.2 验证容器镜像

bash

# 1. 下载公钥（一次性操作）
curl -sL https://github.com/bauer-group/<repo>/raw/main/cosign.pub -o cosign.pub

# 2. 验证镜像签名
cosign verify --key cosign.pub ghcr.io/bauer-group/<image>:<tag>

有效签名的预期输出：

Verification for ghcr.io/bauer-group/<image>:<tag> --
The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - The signatures were verified against the specified public key

2.6.3 验证二进制文件和固件

bash

# 1. 下载制品、签名和公钥
curl -sLO https://github.com/bauer-group/<repo>/releases/download/v1.0.0/artifact.bin
curl -sLO https://github.com/bauer-group/<repo>/releases/download/v1.0.0/artifact.bin.sig
curl -sLO https://github.com/bauer-group/<repo>/raw/main/cosign.pub

# 2. 验证签名
cosign verify-blob --key cosign.pub --signature artifact.bin.sig artifact.bin

# 3. 验证 SHA256 哈希
sha256sum -c SHA256SUMS.txt

2.6.4 验证 SBOM

bash

# 验证 SBOM 签名
cosign verify-blob \
  --key cosign.pub \
  --signature sbom.cdx.json.sig \
  sbom.cdx.json

# 验证 SBOM 哈希
sha256sum -c sbom.cdx.json.sha256

2.6.5 部署中的自动验证

OTA 更新验证（固件）

OTA 服务器仅接受经过签名的制品：

OTA 服务器接收固件更新
    │
    ├── 1. 验证 SHA256 哈希
    │   └── 接收到的二进制文件的哈希 == 预期哈希？
    │
    ├── 2. 验证 Cosign 签名
    │   └── 使用存储的公钥执行 cosign verify-blob
    │
    ├── 两项检查均通过？
    │   ├── 是 → 批准更新进行分发
    │   └── 否 → 拒绝更新，触发告警
    │
    └── 日志记录：每次检查都被记录

容器部署验证

yaml

# Kubernetes 准入控制器（示例）
# 仅允许经过签名的镜像
apiVersion: policy.sigstore.dev/v1alpha1
kind: ClusterImagePolicy
metadata:
  name: bauer-group-signed-images
spec:
  images:
    - glob: "ghcr.io/bauer-group/**"
  authorities:
    - key:
        data: |
          -----BEGIN PUBLIC KEY-----
          <cosign public key>
          -----END PUBLIC KEY-----

2.6.6 市场监督管理机构的验证

市场监督管理机构 (Market Surveillance Authorities) 可按以下方式验证所有制品的完整性：

公钥 —— 从公开仓库获取
发布资产 —— 下载（二进制文件、SBOM、签名、哈希）
Cosign 验证 —— 执行验证
SHA256 哈希 —— 进行比对

所有所需信息均可通过 GitHub Releases 公开访问。

5.2 基础镜像策略

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

5.2 基础镜像策略

5.2.1 Docker 基础镜像管理

基于容器的产品安全始于基础镜像。本政策定义了基础镜像的要求及其持续更新。

5.2.2 要求

允许的基础镜像

类别	允许的镜像	理由
首选	`alpine`, `distroless`, `scratch`	最小攻击面
允许	`debian-slim`, `ubuntu` (LTS)	广泛兼容性
受限	`node`, `python`, `dotnet`（官方）	仅限官方镜像
禁止	未知/非官方镜像	不可验证

质量标准

官方来源： 仅限 Docker Official Images 或 Verified Publisher
当前版本： 最新的 LTS 或稳定版本
最小体积： 优先使用 slim/Alpine 变体
已知漏洞： 无未修补的 CRITICAL CVE

5.2.3 自动化基础镜像监控

现有工作流 modules-docker-base-image-monitor.yml 持续监控所有容器项目的基础镜像。

工作原理

定时任务（每周/每天）
    │
    ├── 检查 Docker Hub API / GHCR
    │   └── 基础镜像是否有新版本？
    │
    ├── 检测到新版本
    │   ├── 创建包含更新的 PR
    │   ├── 触发 CI/CD 流水线
    │   │   ├── 使用新基础镜像构建
    │   │   ├── 对新镜像进行 Trivy 扫描
    │   │   └── 测试
    │   │
    │   └── 成功后：
    │       ├── 自动合并（如已配置）
    │       └── 或：DevOps 审查
    │
    └── 无新版本
        └── 下一个扫描周期

Dependabot Docker 监控

除基础镜像监控外，Dependabot 还监控 Docker 生态系统：

yaml

# .github/dependabot.yml
updates:
  - package-ecosystem: "docker"
    directory: "/"
    schedule:
      interval: "weekly"
    labels:
      - "dependencies"
      - "docker"
      - "security"

5.2.4 多阶段构建 (Multi-Stage Builds)

对于生产镜像，我们使用多阶段构建：

dockerfile

# 阶段 1：构建
FROM node:20-alpine AS builder
WORKDIR /app
COPY . .
RUN npm ci && npm run build

# 阶段 2：生产（最小镜像）
FROM gcr.io/distroless/nodejs20-debian12
COPY --from=builder /app/dist /app
CMD ["app/server.js"]

优势：

构建工具不包含在生产镜像中
最小攻击面
更小的镜像体积
更少的潜在漏洞

5.2.5 基础镜像补丁流程

基础镜像中的 CVE 严重程度	操作	期限
CRITICAL	立即更新 + 重新构建 + 发布	48 小时
HIGH	在下一个补丁版本中更新	7 天
MEDIUM	在下一个次要版本中更新	30 天
LOW	在常规周期中更新	下一次发布

5.1 依赖策略

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

5.1 依赖策略

5.1.1 原则

1. 最小化原则

仅使用产品功能所必需的依赖项。不必要的依赖项会增加攻击面 (Attack Surface)。

2. 可信性

依赖项必须来自可信来源且处于积极维护状态。

3. 许可证合规

仅使用具有兼容许可证的依赖项。

4. 版本管理

依赖项必须固定到特定版本（禁止使用 latest、禁止使用范围）。

5.1.2 允许的许可证

许可证	状态
MIT	✅ 允许
Apache-2.0	✅ 允许
BSD-2-Clause	✅ 允许
BSD-3-Clause	✅ 允许
ISC	✅ 允许
CC0-1.0	✅ 允许
Unlicense	✅ 允许
MPL-2.0	⚠️ 需审查

5.1.3 禁止的许可证

许可证	状态	原因
GPL-2.0	❌ 禁止	Copyleft — 可能影响专有代码
GPL-3.0	❌ 禁止	强 Copyleft
AGPL-3.0	❌ 禁止	网络 Copyleft
SSPL	❌ 禁止	服务端 Copyleft
EUPL（未审查）	⚠️ 审查	需进行兼容性审查

许可证合规检查通过 modules-license-compliance.yml 自动执行。

5.1.4 新依赖项的评估标准

采纳新依赖项之前：

标准	最低要求
维护状况	最近一次提交 < 6 个月
社区	>100 GitHub Stars 或已建立的项目
安全历史	无未解决的 CRITICAL CVE
许可证	在允许列表中
传递依赖	无已知风险
维护者	可识别身份，非匿名临时账户

5.1.5 自动化执行

CI/CD 流水线

yaml

# 每个 PR 都会检查：
- Security Scan (Trivy/Grype) → 存在 CRITICAL 时阻止
- License Compliance → 存在禁止的许可证时阻止
- Dependabot Alerts → 新漏洞的信息通知

Dependabot 配置

每周检查所有生态系统
为安全更新自动创建 PR
可信软件包的补丁更新自动合并

5.1.6 供应链攻击处理流程

如怀疑存在被入侵的依赖项（依赖混淆 (Dependency Confusion)、域名仿冒 (Typosquatting)、维护者接管 (Maintainer Takeover)）：

立即： 在所有项目中识别受影响的依赖项（SBOM 搜索）
4 小时内： 将依赖项固定到安全版本或移除
24 小时内： 验证被入侵的版本是否曾部署到生产环境
如已被入侵： 启动事件响应手册

5.4 经济运营者识别 (Art. 21)

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

5.4 经济运营者识别 (Art. 21)

5.4.1 概述

Art. 21 CRA 要求所有经济运营者 (Economic Operators) 能够识别其在供应链中的供应商和客户。该信息须应市场监管机构 (Market Surveillance Authorities) 的要求予以提供。其目标是确保含数字元素的产品 (Products with Digital Elements) 在整个供应链中的完全可追溯性。

法律依据

Art. 21 CRA: "Economic operators shall, on request, identify the following to the market surveillance authorities:

any economic operator who has supplied them with a product;
any economic operator to whom they have supplied a product.

Economic operators shall be able to present this information for a period of 10 years after they have been supplied with the product and for 10 years after they have supplied the product."

5.4.2 受影响的经济运营者

识别义务适用于供应链中的所有角色：

经济运营者	识别义务	引用
制造商 (Manufacturer)	客户（进口商、分销商）	Art. 10, Art. 21
进口商 (Importer)	制造商（供应商）+ 分销商（客户）	Art. 15, Art. 21
分销商 (Distributor)	进口商/制造商（供应商）+ 客户	Art. 17, Art. 21
授权代表 (Authorised Representative)	制造商（委托方）+ 客户	Art. 16, Art. 21

5.4.3 文档要求

最低记录内容

须为每笔 CRA 相关交易维护以下数据：

供应商或客户的 身份信息（公司名称、地址、联系方式）
产品名称（类型、版本、序列号或唯一标识符）
供应或接收的日期
所供应产品的数量和类型

保留期限

保留义务

所有识别记录必须自供应之日起至少保留 10 年，并须应市场监管机构的要求随时可供提供。

5.4.4 BAUER GROUP 实施方案

入库供应（供应商）

措施	系统	状态
供应商主数据	ERP / 采购系统	✅
带产品分配的收货记录	ERP	✅
采购文件归档	DMS	✅
保留期限 ≥ 10 年已配置	DMS / ERP	⚠️ 待核实

出库供应（客户）

措施	系统	状态
客户主数据	ERP / CRM	✅
订单处理和交付文件	ERP	✅
销售和分销文件归档	DMS	✅
保留期限 ≥ 10 年已配置	DMS / ERP	⚠️ 待核实

机构请求处理流程

收到市场监管机构的请求
转发至信息安全官 (ISB) 和相关部门
识别受影响的产品和相关交易
从 ERP/DMS 中汇编供应商和客户数据
在规定期限内向机构提交

5.4.5 检查清单

[ ] ERP 中供应商和客户数据的保留期限已验证为 ≥ 10 年
[ ] DMS 中采购和销售文件的归档策略已更新
[ ] 针对经济运营者识别的机构请求处理流程已记录
[ ] 响应 Art. 21 请求的职责已明确
[ ] 主数据系统中数据质量的定期审查

5.4.6 交叉引用

供应链安全 -- 供应链安全措施概览
市场监管 -- 与机构的合作及响应流程
进口商义务 -- 非欧盟供应商的特定义务
分销商义务 -- 分销环节的尽职调查义务

5.3 第三方评估

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

5.3 第三方评估

5.3.1 第三方组件评估

根据 Art. 10(4) CRA，制造商在集成第三方组件时必须履行尽职调查 (Due Diligence) 义务。本页描述了评估流程。

5.3.2 评估框架

自动化检查（针对每个依赖项）

这些检查在 CI/CD 流水线中自动执行：

检查项	工具	是否阻止构建
已知 CVE (CRITICAL)	Trivy / Grype	✅
已知 CVE (HIGH)	Trivy / Grype	✅
禁止的许可证	License Compliance	✅
暴露的密钥	Gitleaks / GitGuardian	✅

人工审查（针对新的关键依赖项）

在安全关键领域引入新依赖项时，需进行额外的人工评估：

标准	评估内容	权重
维护者声誉	已验证的账户、知名组织	高
项目活跃度	定期提交、积极解决 Issue	高
安全响应	对已报告漏洞的响应时间	高
代码质量	测试、CI/CD、代码审查	中
依赖深度	传递依赖（越少越好）	中
替代方案	是否有更安全的替代方案？	中
采用率	下载量、用户群	低

评级量表

评级	含义	操作
A -- 可信	所有标准均满足，积极维护	批准使用
B -- 可接受	存在轻微限制，整体可信	在监控下使用
C -- 存在风险	存在显著限制	仅在有合理理由 + 审查后使用
D -- 不可接受	存在关键限制	禁止使用

5.3.3 特殊情况：厂商 SDK（嵌入式）

对于固件项目，厂商 SDK（ESP-IDF、STM32 HAL、Zephyr）需单独评估：

SDK	评级	理由
ESP-IDF (Espressif)	A	官方 SDK，积极维护，SBOM 可用
STM32 HAL (STMicroelectronics)	A	官方 SDK，工业级
Zephyr RTOS	A	Linux Foundation 项目，Security WG 活跃
PlatformIO	B	社区项目，广泛采用

5.3.4 持续监控

所有集成的第三方组件在集成后持续监控：

Dependabot -- 每周检查新版本和 CVE
CVE 监控 -- 每日将 SBOM 与当前 CVE 数据库进行比对扫描
许可证合规 -- 每次构建时检查
基础镜像监控 -- 每周检查新的基础镜像版本

5.3.5 文档

对于技术文档 (Technical Documentation)（Annex VII CRA），需维护所有第三方组件的列表：

SBOM 作为机器可读的清单
人工评估存储在产品文档文件夹中
许可证合规报告作为构建工件存档

6.6 Annex VII – 指南

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

6.6 Annex VII – 指南

6.6.1 概述

CRA 的 Annex VII 定义了每个制造商必须创建并保留10年的技术文档的完整内容。本指南详细说明每项要求，并引用相应的文档位置。

法律依据

Art. 31 CRA： 技术文档应在产品投放市场前编制，并持续保持更新。

Annex VII CRA： 技术文档的内容。

6.6.2 要求1 — 产品一般描述

Annex VII 第1项： 含数字元素产品的一般描述，包括：

要素	描述	文档位置
预期用途	目的、目标受众、使用场景	产品描述
版本	受影响的软件/固件版本	发布说明、SBOM
硬件要求	如适用：硬件要求	产品描述
基本特性	功能范围、核心功能	产品描述

实施方式： 按照产品描述模板为每个产品编制一份文档。

6.6.3 要求2 — 设计与开发描述

Annex VII 第2项： 设计和开发流程的描述，包括：

要素	描述	文档位置
安全架构	安全措施概述	安全架构
数据处理	处理哪些数据、数据流	安全架构
威胁模型	已识别的威胁和对策	风险评估
设计决策	安全相关的架构决策	安全架构

6.6.4 要求3 — 网络安全风险评估

Annex VII 第3项： 根据 Art. 10(2) 进行的网络安全风险评估 (Cybersecurity Risk Assessment)，包括：

要素	描述	文档位置
方法论	采用的风险评估方法	风险评估模板
已识别风险	网络安全风险清单	风险评估
评价	可能性 x 影响	风险评估
措施	风险缓解措施	风险评估
残余风险	已接受的残余风险及其理由	风险评估

6.6.5 要求4 — 漏洞处理 (Vulnerability Handling)

Annex VII 第4项： 漏洞处理流程的描述：

要素	描述	文档位置
监控	如何识别漏洞	CVE 监控
评估	如何评估漏洞	风险评估
修复	如何修复漏洞	补丁管理
披露	如何披露漏洞	披露策略
SBOM	机器可读的 SBOM	SBOM与签名

6.6.6 要求5 — 适用的标准和规范

Annex VII 第5项： 已适用的协调标准 (Harmonised Standards)、通用规范或网络安全认证方案清单：

标准	范围	状态
ISO/IEC 27001	信息安全管理体系	参考
ISO/IEC 29147	漏洞披露	已适用
ISO/IEC 30111	漏洞处理	已适用
CycloneDX v1.6	SBOM 格式	已适用
Sigstore/Cosign	制品签名	已适用
OWASP ASVS	应用安全验证	参考
IEC 62443	工业网络安全	如涉及工业产品

注：CRA 特定的协调标准正在制定中。一旦发布，此列表将更新。

协调标准

一旦 CRA 的协调标准发布，这些标准将实现合规推定 (Presumption of Conformity)。协调标准的适用对于使用 Module A 的 Class I 产品尤为关键。

6.6.7 要求6 — 测试结果

Annex VII 第6项： 已执行的测试和检查结果：

测试类型	描述	工具
静态分析 (SAST)	源代码漏洞分析	SonarQube、Semgrep
动态分析 (DAST)	运行时漏洞测试	OWASP ZAP、Burp
依赖项扫描	依赖项验证	Trivy、Grype、Snyk
容器扫描	容器镜像验证	Trivy
密钥扫描	在代码中搜索密钥	Gitleaks、GitGuardian
渗透测试 (Penetration Testing)	手动安全测试	外部（用于 Class I+）
模糊测试 (Fuzzing)	健壮性测试	AFL、libFuzzer

保留： 测试结果作为 CI/CD 制品归档，可通过仓库访问。

6.6.8 要求7 — 合规评估结果

Annex VII 第7项： 合规评估 (Conformity Assessment) 的结果：

程序	文档	文档位置
Module A	自我评估报告	内部控制
Module B+C	EU 型式检验证书	Module B+C
Module H	QMS 证书	Module H
EUCC	网络安全证书	EUCC

6.6.9 要求8 — EU 符合性声明

Annex VII 第8项： EU 符合性声明 (EU Declaration of Conformity) 的副本：

EU 符合性声明模板

6.6.10 要求9 — 支持期限

Annex VII 第9项： 支持期限 (Support Period) 的确定：

支持与生命周期

6.6.11 完整性检查清单

[ ] 第1项：产品描述已创建
[ ] 第2项：设计和开发流程已文档化
[ ] 第3项：网络安全风险评估已执行
[ ] 第4项：漏洞处理已文档化
[ ] 第4项：SBOM 已生成并归档
[ ] 第5项：已适用标准已列出
[ ] 第6项：测试结果已文档化并归档
[ ] 第7项：合规评估结果已文档化
[ ] 第8项：EU 符合性声明已创建
[ ] 第9项：支持期限已确定
[ ] 所有文档已归档（10年保留）
[ ] 所有文档已版本化（Git）

第6章：技术文档

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

第6章：技术文档

概述

根据 CRA 附录 VII (Annex VII) 编制的技术文档是证明含数字元素产品 (Product with Digital Elements) 合规性的核心证据文件。技术文档必须在产品投放市场前编制完成，并保留至少10年。

法律依据

Art. 31 CRA： "技术文档应在含数字元素产品投放市场前编制，并在预期产品生命周期内或产品投放市场后五年内（以较短者为准）持续更新。"

Annex VII CRA 规定了技术文档的最低内容要求。

章节结构

章节	主题	Annex VII 参考
7.1	产品描述（模板）	第1项：一般描述
7.2	安全架构	第3项：架构与设计
7.3	更新机制	第4项：更新提供
7.4	支持与生命周期策略	Art. 13(8)，Annex II 第5项
7.5	安全要求（Annex I）	Annex I 第I部分：13项基本要求
7.6	Annex VII — 指南	Annex VII：完整文档指南

附加强制性内容（跨章节）

Annex VII 要求	文档位置	章节
SBOM（机器可读）	SBOM与签名	第2章
网络安全风险评估 (Cybersecurity Risk Assessment)	风险评估	第3章
漏洞处理 (Vulnerability Handling)	漏洞管理	第3章
协调披露 (Coordinated Disclosure)	披露策略	第5章
合规评估结果 (Conformity Assessment)	合规评估	第8章
EU 符合性声明 (EU Declaration of Conformity)	EU DoC	第8章
用户信息（Annex II）	用户信息	附录

保留义务

Art. 10(13) CRA： 技术文档应在产品投放市场后保留10年，或在支持期限 (Support Period) 内——以较长者为准。

文档类型	存储位置	保留期限
技术文档	本仓库 (Git)	10年
每个版本的 SBOM	发布资产 + sbom/	10年
符合性声明	本仓库	10年
风险评估	本仓库	10年
测试结果	GitHub Actions Artifacts / 归档	10年

产品特定文档

需采取行动

对于每个与 CRA 相关的产品，必须编制单独的技术文档。本章提供的模板（特别是7.1产品描述）作为模板使用。

产品特定文档保存在 docs/products// 下的单独目录中。

6.2 安全架构

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

6.2 安全架构

6.2.1 安全设计流程 (Security-by-Design)

安全架构文档说明了网络安全如何被集成到设计、开发和维护流程中。

法律依据

Art. 10(1) CRA： "制造商应确保产品以确保适当网络安全水平的方式进行设计、开发和生产。"

Annex I，第I部分： 产品的基本网络安全要求。

6.2.2 安全开发生命周期 (Secure Development Lifecycle, SDLC)

规划 → 设计 → 开发 → 测试 → 发布 → 维护
   │         │          │           │         │         │
   │         │          │           │         │         └── CVE 监控
   │         │          │           │         │             补丁管理
   │         │          │           │         │             ENISA 报告
   │         │          │           │         │
   │         │          │           │         └── 生成 SBOM
   │         │          │           │             Cosign 签名
   │         │          │           │             发布说明
   │         │          │           │
   │         │          │           └── 安全扫描 (Trivy/Grype)
   │         │          │               许可证合规
   │         │          │               密钥扫描
   │         │          │
   │         │          └── 代码审查（四眼原则）
   │         │              依赖项检查
   │         │              分支保护
   │         │
   │         └── 威胁建模 (Threat Modeling)
   │             安全要求
   │             架构审查
   │
   └── 风险评估
       产品分类
       合规要求

6.2.3 Annex I，第I部分 — 基本要求

以下来自 CRA Annex I 第I部分的要求在安全架构中得到了落实：

(1) 默认安全 (Security by Default)

要求	实现方式
安全的默认配置	默认采用限制性设置，无不必要的网络访问
最小攻击面	Alpine/Distroless 基础镜像，仅开放必需的端口/服务
最小权限原则	容器以非root用户运行，最小权限

(2) 未授权访问防护

要求	实现方式
身份认证	产品特定（OAuth2、API Keys、mTLS）
授权	基于角色的访问控制 (RBAC)
暴力破解防护	速率限制、账户锁定

(3) 机密性保护

要求	实现方式
传输加密	TLS 1.3（最低 TLS 1.2）
数据加密	存储敏感数据采用 AES-256
密钥管理 (Secret Management)	GitHub Secrets，代码中不含明文密钥

(4) 完整性保护

要求	实现方式
制品签名	容器、二进制文件、SBOM 均采用 Cosign 签名
更新完整性	签名更新，SHA256 校验
代码完整性	分支保护、代码审查、签名提交

(5) 可用性保护

要求	实现方式
弹性	产品特定（冗余、故障转移）
DoS 防护	速率限制、资源限制
优雅降级 (Graceful Degradation)	部分故障时的定义行为

(6) 不利影响最小化

要求	实现方式
日志记录	记录安全相关事件
监控	异常检测（产品特定）
隔离	容器隔离、网络策略

6.2.4 CI/CD 安全措施

措施	实现方式	工作流
分支保护	主分支受保护，需提交 PR	GitHub 设置
代码审查	至少1名审查者	GitHub 设置
安全扫描	每次构建均运行 Trivy、Grype、Snyk	`modules-security-scan.yml`
密钥扫描	Gitleaks、GitGuardian	`modules-security-scan.yml`
许可证合规	自动检查	`modules-license-compliance.yml`
Dockerfile 检查	Hadolint	`modules-validate-dockerfile.yml`
SBOM 生成	发布时自动生成	`modules-license-compliance.yml`
制品签名	发布时使用 Cosign	`docker-build.yml`
依赖项更新	Dependabot	`docker-maintenance-dependabot.yml`

6.2.5 安全架构的证据

安全架构通过以下方式提供证据：

自动化扫描 — CI/CD 流水线中的结果（归档的构建制品）
代码审查 — 在 Pull Request 中记录（Git 历史）
SBOM — 机器可读的组件清单
签名发布 — Cosign 签名可验证
本文档 — 在 Git 仓库中进行版本控制

6.5 安全要求 (Annex I)

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

6.5 安全要求 (Annex I)

6.5.1 概述

CRA Annex I 第I部分定义了每个含数字元素产品必须满足的13项基本网络安全要求。本页面为每项要求提供详细的实施指南。

法律依据

Annex I 第I部分 CRA： 基本网络安全要求。含数字元素产品的设计、开发和生产应确保其具备适当的网络安全水平，并考虑相关风险。

6.5.2 第1项 — 适当的网络安全水平

要求： 产品的设计、开发和生产应确保其基于风险实现适当的网络安全水平。

BAUER GROUP 的实施方式：

安全设计 (Security by Design)：从设计阶段开始制定安全要求
每个架构决策前进行威胁建模 (Threat Modeling)
每个产品的风险评估（模板）
多层安全（纵深防御, Defense in Depth）

证据： 风险评估、安全架构文档、测试结果

6.5.3 第2项 — 无已知可利用漏洞

要求： 产品交付时不得存在已知可利用漏洞。

BAUER GROUP 的实施方式：

自动化 CVE 监控（每日）
多引擎安全扫描（Trivy、Grype、Snyk）
Dependabot 自动依赖项更新
发布前安全门禁：存在已知 Critical/High CVE 时不发布

证据： CVE 扫描报告、依赖项审计日志、发布门禁结果

6.5.4 第3项 — 机密性、完整性和可用性保护

第3.1项 — 机密性保护

要求： 保护存储、传输或以其他方式处理的数据的机密性。

实施方式：

传输中的数据： 所有网络连接使用 TLS 1.2+，服务间通信使用 mTLS
静态数据： 敏感数据使用 AES-256 加密
密钥管理： 硬件支持（HSM/KMS）或 Vault
访问控制： 最小权限原则、RBAC/ABAC

证据： 加密清单、加密配置、访问控制列表

第3.2项 — 完整性保护

要求： 保护存储、传输或以其他方式处理的数据、命令、程序和配置的完整性。

实施方式：

制品签名： 容器和二进制文件采用 Cosign（签名）
SBOM 完整性： 每个发布版本的签名 SBOM
代码完整性： 签名的 Git 提交、受保护分支
数据完整性： 校验和、数字签名
配置完整性： 基础设施即代码 (Infrastructure as Code)、GitOps

证据： 签名日志、校验和验证、Git 审计跟踪

第3.3项 — 可用性保护

要求： 保护基本功能的可用性，包括在受到攻击时（例如 DDoS）。

实施方式：

冗余系统和故障转移
速率限制和 DDoS 防护
资源匮乏时的优雅降级 (Graceful Degradation)
备份和恢复程序
监控和告警

证据： 架构图、灾难恢复 (DR) 计划、负载测试结果

6.5.5 第4项 — 安全默认配置

要求： 产品应以安全的默认配置交付，包括将产品重置为初始状态的能力。

实施方式：

默认安全 (Security-by-Default)： 禁用所有不必要的服务
无默认密码： 安装向导强制设置个人凭据
限制性默认值： 防火墙规则、权限、端口
出厂重置： 能够重置为安全的默认配置
文档： 用户文档中描述安全配置

证据： 默认配置文件、安装流程文档

6.5.6 第5项 — 未授权访问防护

要求： 通过适当的控制机制（身份认证、身份管理、访问控制）保护产品免受未授权访问。

实施方式：

身份认证： 尽可能采用多因素认证 (MFA)
授权： 采用最小权限原则的 RBAC
会话管理： 安全令牌、超时、失效
API 安全： API 密钥、OAuth 2.0、速率限制
暴力破解防护： 账户锁定、CAPTCHA

证据： 认证架构、权限矩阵、渗透测试报告

6.5.7 第6项 — 最小攻击面

要求： 最小化攻击面，包括外部接口。

实施方式：

最小容器： Alpine/Distroless 基础镜像
最小服务： 仅开放必需的端口和服务
最小依赖： 定期清理（依赖策略）
最小权限： 非root容器、受限能力
网络分段： 零信任 (Zero-Trust) 架构

证据： 容器扫描报告、端口清单、依赖项审计

6.5.8 第7项 — 存储数据的机密性

要求： 保护存储、传输或以其他方式处理的数据（包括个人数据）的机密性。

实施方式：

所有持久化数据库加密（AES-256）
加密备份
安全密钥轮换
数据分类（公开、内部、机密、严格机密）
不再需要的数据的删除机制

证据： 加密清单、密钥轮换日志、数据分类方案

6.5.9 第8项 — 存储数据的完整性

要求： 保护存储数据和命令的完整性，防止被篡改。

实施方式：

关键数据的完整性校验和
审计日志采用一次写入多次读取 (WORM)
配置数据的数字签名
数据库完整性检查
篡改检测机制

证据： 完整性检查日志、审计日志配置

6.5.10 第9项 — 数据最小化 (Data Minimization)

要求： 仅处理产品预期用途所必需的数据（个人数据或其他数据）。

实施方式：

隐私设计 (Privacy by Design)：仅收集必要数据
每个产品的数据最小化策略
保留期限到期后自动删除
未经明确同意不进行跟踪/遥测
尽可能采用假名化处理

证据： 每个产品的数据目录、数据流图、删除方案

6.5.11 第10项 — 基本功能的可用性

要求： 即使在个别组件发生故障时，产品的基本功能也必须保持可用。

实施方式：

识别每个产品的基本功能
关键组件的故障转移机制
适当情况下的离线能力
优雅降级 (Graceful Degradation) 而非完全故障
恢复程序已文档化

证据： 关键性分析、故障转移测试、恢复时间目标 (Recovery Time Objectives)

6.5.12 第11项 — 不利影响最小化

要求： 在发生安全事件时，最小化对其他设备和网络可用性的不利影响。

实施方式：

网络隔离（分段、VLAN）
资源限制（CPU、内存、带宽限制）
微服务的断路器模式 (Circuit Breaker Pattern)
异常时自动隔离
事件遏制程序（应急手册）

证据： 网络分段计划、资源限制、遏制程序

6.5.13 第12项 — 安全相关信息

要求： 收集和提供安全相关信息，包括日志记录和监控。

实施方式：

集中式日志记录（安全事件、认证、授权）
安全相关操作的审计跟踪
监控和告警（SIEM 集成）
日志保留：至少12个月
日志的防篡改保护

证据： 日志配置、SIEM 仪表板、日志保留策略

6.5.14 第13项 — 安全更新能力

要求： 能够安全地更新产品，包括自动通知可用更新。

实施方式：

自动更新通知
签名更新（Cosign）
更新失败时的回滚能力
安全更新的独立交付（不包含功能变更）
IoT/固件的 OTA（空中下载, Over-the-Air）（更新机制）

证据： 更新架构、签名验证、回滚测试

6.5.15 合规矩阵

编号	要求	实施状态	证据位置
1	适当的网络安全水平	✅	风险评估、架构
2	无已知漏洞	✅	CVE 监控、扫描报告
3.1	机密性保护	✅	加密清单
3.2	完整性保护	✅	签名日志
3.3	可用性保护	⚠️	产品特定
4	安全默认配置	✅	默认配置
5	未授权访问防护	✅	认证架构
6	最小攻击面	✅	容器扫描
7	存储数据的机密性	✅	加密清单
8	存储数据的完整性	✅	完整性日志
9	数据最小化	✅	数据目录
10	基本功能的可用性	⚠️	产品特定
11	不利影响最小化	✅	分段计划
12	安全相关信息	✅	日志配置
13	安全更新能力	✅	更新架构

6.4 支持与生命周期

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

6.4 支持与生命周期

6.4.1 法律依据

根据 Art. 13(8) CRA，制造商必须为每个产品确定并公布支持期限 (Support Period)。在此期间内，必须提供安全更新。

法律依据

Art. 13(8) CRA： "制造商应确定预期产品生命周期。在确定支持期限时，制造商应特别考虑用户的合理期望、产品的性质（包括其预期用途），以及关于确定含数字元素产品生命周期的相关欧盟法律。"

Art. 13(8) 第2款 CRA： "支持期限自产品投放市场之日起至少为五年。"

Annex II 第5项 CRA： 支持期限是随产品提供的强制性用户信息的一部分。

6.4.2 最低支持期限

CRA 规定最低支持期限为5年。对于预期使用寿命更长的产品类别，BAUER GROUP 制定了更长的期限：

产品类别	最低支持期限	依据	示例
软件产品（Web、API）	5年	CRA 最低要求	微服务、Web 应用
容器镜像	5年	CRA 最低要求	基于 Docker 的服务
库/软件包	自最后一个主版本起5年	CRA 最低要求	NPM 包、NuGet 包
固件（IoT 消费类）	5年或预期设备使用寿命	以较长者为准	基于 ESP32 的设备
固件（工业类）	10年	工业控制器的预期使用寿命	STM32、Zephyr RTOS

关于确定支持期限的说明

支持期限的确定必须在产品投放市场之前完成，且此后不得缩短。可随时延长支持期限，如果实际使用寿命超过原始估计，建议进行延长。

6.4.3 生命周期阶段

每个产品经历三个已定义的生命周期阶段：

┌──────────────────────────────────────────────────────────────┐
│  第1阶段：主动支持 (ACTIVE SUPPORT)                            │
│                                                              │
│  全面支持：功能 + 安全 + 缺陷修复                                │
│  持续时间：直到下一个主版本发布或阶段转换                          │
│  SLA：安全更新按补丁管理规定（→ 第3章）                          │
├──────────────────────────────────────────────────────────────┤
│  第2阶段：安全支持 (SECURITY SUPPORT)                           │
│                                                              │
│  仅安全更新：CRITICAL 和 HIGH 级别 CVE                          │
│  持续时间：直到支持结束（总计至少5年）                             │
│  SLA：CRITICAL ≤ 48小时，HIGH ≤ 7天                            │
├──────────────────────────────────────────────────────────────┤
│  第3阶段：生命周期结束 (END OF LIFE, EOL)                       │
│                                                              │
│  不再提供进一步更新                                              │
│  提示用户迁移                                                   │
│  提前12个月公告                                                 │
│  SBOM + 签名 + 文档保持归档                                     │
└──────────────────────────────────────────────────────────────┘

阶段间的过渡

过渡	触发条件	通知方式
主动 → 安全	发布新主版本或管理层决定	发布说明 + SECURITY.md 更新
安全 → EOL	支持期限到期	提前12个月通知（见 EOL 流程）

6.4.4 EOL 流程

公告时间表

时间点	操作	渠道	责任人
EOL 前12个月	EOL 公告及计划日期	GitHub Advisory + 发布说明 + SECURITY.md	产品负责人
EOL 前6个月	提醒 + 发布迁移指南	GitHub Advisory + 文档	产品负责人
EOL 前3个月	最后提醒 + 更新产品页面	GitHub Advisory + 电子邮件（已知客户）	产品负责人
EOL 日期	最终版本标记，不再提供更新	发布说明 + SECURITY.md 更新	DevOps 负责人

EOL 后的义务

即使在达到 EOL 后，根据 Art. 10(13) CRA，以下保留义务仍然适用：

义务	期限	措施
技术文档归档	投放市场后10年	Git 仓库（受保护分支）
所有版本的 SBOM 可用	投放市场后10年	发布资产 + SBOM 归档
签名可验证	投放市场后10年	Cosign 公钥归档
现有版本可下载	投放市场后10年	GitHub Releases / 注册中心
符合性声明可用	投放市场后10年	Git 仓库

6.4.5 版本管理策略

BAUER GROUP 采用语义化版本管理 2.0.0：

MAJOR.MINOR.PATCH[-PRERELEASE][+BUILD]

MAJOR – 不兼容的 API 变更（新的支持周期）
MINOR – 向后兼容的功能新增
PATCH – 向后兼容的缺陷修复/安全更新

安全更新始终作为 PATCH 版本发布且向后兼容。如果为修复漏洞而不可避免地需要进行破坏性变更，将同时为当前 MAJOR 版本提供解决方案。

6.4.6 产品目录 — 支持状态

产品特定

以下产品目录必须针对 BAUER GROUP 的每个与 CRA 相关的产品进行维护。表格在每次主版本发布、阶段转换或 EOL 事件时更新。

责任人： 产品负责人与安全负责人协调

产品	类型	当前版本	支持阶段	支持开始	支持结束	下次审查
[填写产品名称]	软件	vX.Y.Z	主动支持	YYYY-MM-DD	YYYY-MM-DD	YYYY-MM-DD
[填写产品名称]	容器	vX.Y.Z	安全支持	YYYY-MM-DD	YYYY-MM-DD	YYYY-MM-DD
[填写产品名称]	固件	vX.Y.Z	主动支持	YYYY-MM-DD	YYYY-MM-DD	YYYY-MM-DD

填写说明

对于 CRA 范围内的每个产品（→ 第1.3章），必须在此表中添加一行。支持开始对应于投放市场日期（首次公开提供）。支持结束必须至少在支持开始后5年。

6.4.7 用户信息

根据 Annex II 第5项 CRA，必须告知用户支持期限。信息必须在以下位置提供：

信息位置	内容	CRA 义务
产品文档（投放市场时）	支持期限、支持阶段、EOL 日期	Art. 13(8)
SECURITY.md（每个仓库）	受支持版本、报告渠道	Art. 13(6)
产品页面 / README	当前支持阶段、下次 EOL	Annex II 第5项
发布说明（阶段转换时）	主动 → 安全过渡、EOL 公告	最佳实践
用户信息模板	完整的安全通知	Annex II

用户信息模板请参见附录：用户信息。

6.4.8 流程集成

生命周期流程已集成到现有的 CI/CD 工作流中：

事件	自动化	工作流
新版本发布	生成 SBOM、签名、作为发布资产附加	`cra-release.yml`
主版本发布	将前一版本的支持阶段设为安全支持	手动 + 目录更新
达到 EOL	更新 SECURITY.md、注册中心中的弃用通知	手动 + 目录更新
支持审查（每半年）	审查产品目录、规划阶段转换	手动

6.3 更新机制

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

6.3 更新机制

6.3.1 概述

更新机制确保安全更新以安全、真实且及时的方式交付给用户。

法律依据

Annex I，第II部分，第7项： "制造商应确保安全更新及时且免费地提供给用户。"

Art. 10(12) CRA： 必须确保安全更新的完整性，特别是在自动安装的情况下。

6.3.2 更新渠道

基于容器的产品

补丁可用
    │
    ├── 构建新的容器镜像
    │   ├── CI/CD 流水线（自动）
    │   ├── Trivy 扫描（无新 CVE）
    │   ├── 生成 SBOM
    │   └── Cosign 签名
    │
    ├── 发布镜像
    │   ├── GitHub Container Registry (GHCR)
    │   └── Docker Hub（如已配置）
    │
    ├── 用户通知
    │   ├── GitHub Release 含变更日志
    │   └── Security Advisory（修复 CVE 时）
    │
    └── 用户执行更新
        ├── docker pull <image>:<new-tag>
        ├── 验证签名：cosign verify
        └── 重启容器

固件更新 (OTA)

补丁可用
    │
    ├── 构建固件
    │   ├── 构建工作流（ESP32/STM32/Zephyr）
    │   ├── 生成 SBOM
    │   └── Cosign 签名
    │
    ├── 发布固件
    │   ├── GitHub Release Asset
    │   └── OTA 服务器（已签名）
    │
    ├── OTA 分发
    │   ├── 设备检查 OTA 服务器
    │   ├── 验证签名
    │   ├── 校验哈希值
    │   ├── 安装固件
    │   └── 防回滚检查
    │
    └── 回退方案
        └── 手动更新方式（USB/串口）

软件包 (NuGet, NPM)

补丁可用
    │
    ├── 构建 + 发布软件包
    │   ├── 注册中心（NuGet.org、npmjs.com）
    │   └── SBOM 作为发布资产
    │
    └── 用户执行更新
        └── npm update / dotnet update

6.3.3 完整性保护

每个更新通过以下机制进行保护：

机制	容器	固件	软件包
Cosign 签名	✅	✅	🔧 计划中
SHA256 哈希	✅	✅	✅（注册中心）
TLS 传输	✅	✅	✅
防回滚 (Anti-Rollback)	不适用	✅	不适用
安全启动链 (Secure Boot Chain)	不适用	✅（如支持）	不适用

6.3.4 免费提供

根据 Art. 10(7) CRA，所有安全更新均免费提供：

容器镜像通过公共注册中心 (GHCR) 提供
固件通过 GitHub Releases（公开下载）提供
软件包通过公共注册中心提供

6.3.5 更新频率

产品类型	常规更新	安全更新
容器镜像	按需 / 每月	CRITICAL/HIGH 立即更新
固件	每季度	CRITICAL/HIGH 立即更新
软件包	按需	CRITICAL/HIGH 立即更新

A.1 事件报告（内部）

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

A.1 事件报告（内部）

A.1.1 模板：内部安全事件报告

事件识别

字段	值
事件 ID	[INC-YYYY-NNN]
严重性	[SEV-1 / SEV-2 / SEV-3 / SEV-4]
状态	[待处理 / 处理中 / 已解决 / 已关闭]
创建时间	[YYYY-MM-DD HH:MM]
创建人	[姓名]
指派给	[姓名]
GitHub Issue	[链接]

摘要

[用 1-3 句话概述事件]

时间线

日期/时间	事件	负责人
	事件检测到
	分类完成
	遏制措施已实施
	补丁已开发
	补丁已部署
	事件已关闭

受影响的系统/产品

系统/产品	版本	影响

根本原因

[描述根本原因]

已采取的措施

措施	状态	日期

ENISA 报告义务

[ ] 需要向 ENISA 报告
- [ ] 预警（24小时）发送日期：___
- [ ] 通知（72小时）发送日期：___
- [ ] 最终报告（14天）发送日期：___
[ ] 无需向 ENISA 报告（理由：___）

经验教训

[学到了什么？将改进什么？]

A.6 风险评估

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

A.6 风险评估

A.6.1 模板：根据 Art. 10(2) CRA 的网络安全风险评估

1. 产品标识

字段	值
产品名称	[名称]
版本	[版本]
CRA 类别	[标准 / Class I / Class II / 关键]
评估日期	[YYYY-MM-DD]
评估人	[姓名, 职务]
下次审查	[YYYY-MM-DD]

2. 产品描述

用途： [简要描述]

技术栈： [列举]

数据处理：

[ ] 个人数据
[ ] 业务关键数据
[ ] 认证数据
[ ] 无敏感数据

网络连接：

[ ] 面向互联网
[ ] 内部网络
[ ] 隔离环境
[ ] IoT/OT 网络

3. 威胁分析

威胁	可能性	影响	风险
未授权网络访问	[高/中/低]	[严重/重大/中等/轻微]	[严重/高/中/低]
注入攻击（SQL, XSS 等）	[高/中/低]	[严重/重大/中等/轻微]	[严重/高/中/低]
依赖项漏洞 (CVE)	[高/中/低]	[严重/重大/中等/轻微]	[严重/高/中/低]
供应链攻击	[高/中/低]	[严重/重大/中等/轻微]	[严重/高/中/低]
拒绝服务攻击	[高/中/低]	[严重/重大/中等/轻微]	[严重/高/中/低]
数据泄露	[高/中/低]	[严重/重大/中等/轻微]	[严重/高/中/低]
固件篡改	[高/中/低]	[严重/重大/中等/轻微]	[严重/高/中/低]
物理访问	[高/中/低]	[严重/重大/中等/轻微]	[严重/高/中/低]
内部威胁	[高/中/低]	[严重/重大/中等/轻微]	[严重/高/中/低]

高=High, 中=Medium, 低=Low, 严重=Critical, 重大=Significant, 中等=Moderate, 轻微=Minor

4. 安全措施

风险	措施	实施状态
未授权访问	[例如 OAuth2, mTLS]	[已实施/进行中/未开始]
注入	[例如输入验证, 预处理语句]	[已实施/进行中/未开始]
依赖项中的 CVE	[Trivy 扫描, Dependabot, CVE Monitor]	已实施
供应链	[许可证合规, SBOM, 基础镜像监控]	已实施
拒绝服务	[例如速率限制, 资源限制]	[已实施/进行中/未开始]
数据泄露	[例如加密, 访问控制]	[已实施/进行中/未开始]
固件篡改	[Cosign, 安全启动, 防回滚]	[已实施/进行中/未开始]

5. 残余风险

残余风险	评估	接受决定
[描述]	[低/中]	[接受 / 计划进一步措施]

6. Annex I 合规性检查

编号	Annex I 第I部分要求	合规	证据
	基于风险的适当网络安全水平	[是/否]	[参考]
(a)	交付时无已知可利用漏洞	[是/否]	[Trivy 报告日期]
(b)	默认安全配置并可重置	[是/否]	[参考]
(c)	安全更新可自动交付（可选退出）	[是/否]	[参考]
(d)	防止未授权访问（控制机制）	[是/否]	[参考]
(e)	保密性保护（静态/传输加密）	[是/否]	[参考]
(f)	完整性保护，防止未授权篡改	[是/否]	[参考]
(g)	数据最小化	[是/否]	[参考]
(h)	可用性保护（韧性, 拒绝服务缓解）	[是/否]	[参考]
(i)	最小化对其他服务/设备可用性的负面影响	[是/否]	[参考]
(j)	最小攻击面，包括外部接口	[是/否]	[参考]
(k)	利用缓解（隔离, 最小权限）	[是/否]	[参考]
(l)	相关活动的日志记录和监控（可选退出）	[是/否]	[参考]
(m)	数据和设置的安全永久删除	[是/否]	[参考]

7. 结论

总体风险评估： [低 / 中 / 高 / 严重]

建议：

[ ] 产品可以当前形式发布
[ ] 在实施已识别的措施后发布
[ ] 需要进一步分析

8. 签名

字段	值
评估人	[姓名]
日期	[YYYY-MM-DD]
批准人	[姓名, 职务]
批准日期	[YYYY-MM-DD]

3.1 CVE 监控

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

3.1 CVE 监控

3.1.1 流程

CVE 监控每日扫描所有活跃产品的 SBOM 与当前 CVE 数据库进行比对。目标是及早发现已交付产品依赖项中新发布的漏洞。

法律依据

Art. 10(6) CRA: "制造商应建立有效且定期的程序和机制，以识别含有数字元素的产品中的漏洞。"

Annex I, Part II, No. 5: "制造商应主动监控产品中包含的第三方漏洞。"

3.1.2 工作流设计

触发器

yaml

on:
  schedule:
    - cron: '0 6 * * *'    # 每日 UTC 06:00
  workflow_dispatch:         # 手动触发

执行序列

1. 加载活跃产品版本的 SBOM
   +-- 来源：合规仓库 (sbom/) 或 GitHub 发布资产

2. 将每个 SBOM 与当前 CVE 数据库进行扫描
   +-- trivy sbom sbom.cdx.json --severity CRITICAL,HIGH
   +-- grype sbom:sbom.cdx.json --only-fixed --fail-on high

3. 解析结果
   +-- 按严重程度过滤 (CRITICAL, HIGH)
   +-- 提取：CVE ID、软件包、版本、修复版本
   +-- 检查重复项（已报告的 CVE）

4. 发现新问题时：
   +-- 创建 GitHub Issue
   |   +-- 标题："[CVE-YYYY-XXXXX] <软件包> – <严重程度>"
   |   +-- 标签：security, cve, <severity>
   |   +-- 正文：CVE 详情、受影响的产品、修复版本
   |   +-- 受理人：安全负责人
   +-- Teams 通知（针对 CRITICAL）
   +-- 如正在被积极利用 -> 触发 ENISA 报告流程

5. 归档扫描报告
   +-- 作为 GitHub Actions 制品（90 天）

工作流规范

yaml

name: CVE Monitor

on:
  schedule:
    - cron: '0 6 * * *'
  workflow_dispatch:
    inputs:
      severity:
        description: 'Minimum severity to report'
        default: 'HIGH'
        type: choice
        options: ['CRITICAL', 'HIGH', 'MEDIUM', 'LOW']

jobs:
  scan-sboms:
    runs-on: ubuntu-latest
    strategy:
      matrix:
        product: [product-a, product-b, firmware-esp32]
    steps:
      - name: Checkout Compliance Repo
        uses: actions/checkout@v4

      - name: Get Latest SBOM
        run: |
          SBOM=$(ls -t sbom/${{ matrix.product }}/sbom-*.cdx.json | head -1)
          echo "SBOM_PATH=$SBOM" >> $GITHUB_ENV

      - name: Trivy SBOM Scan
        uses: aquasecurity/trivy-action@master
        with:
          input: ${{ env.SBOM_PATH }}
          scan-type: sbom
          severity: CRITICAL,HIGH
          format: json
          output: trivy-results.json

      - name: Create Issues for New CVEs
        uses: actions/github-script@v7
        with:
          script: |
            const results = require('./trivy-results.json');
            // Create issue for each new CVE
            // Check for duplicates via existing issues

3.1.3 CVE 数据库

数据库	工具	覆盖范围
NVD (NIST)	Trivy, Grype	全面——所有 CVE
GitHub Advisory DB	Dependabot	语言特定
OSV (Open Source Vulnerability)	Trivy	开源聚焦
Red Hat Security Data	Trivy	Linux 软件包
Alpine SecDB	Trivy	Alpine 软件包

3.1.4 Issue 模板

markdown

## CVE-[YYYY-XXXXX]: [软件包名称] – [严重程度]

**严重程度：** CRITICAL / HIGH
**CVSS 评分：** X.X
**受影响：** [产品名称] v[版本]

### 详情
- **软件包：** [name]@[version]
- **修复版本：** [fixed-version]
- **CVE：** https://nvd.nist.gov/vuln/detail/CVE-YYYY-XXXXX
- **描述：** [CVE 描述]

### 受影响的产品
| 产品 | 版本 | SBOM |
|------|------|------|
| [名称] | [版本] | [链接] |

### 建议操作
- [ ] 将软件包更新到版本 [fixed-version]
- [ ] 测试补丁
- [ ] 创建发布
- [ ] 更新 SBOM
- [ ] 检查：该 CVE 是否正在被积极利用？-> [ENISA 报告流程](/zh/incident-response/enisa-reporting)

### 分类
- **正在被积极利用：** 是 / 否 / 未知
- **ENISA 报告义务：** 是 / 否

3.1.5 CVE 处理 SLA

严重程度	响应时间	补丁期限	参考
CRITICAL	4 小时	48 小时	Annex I, Part II, No. 7
HIGH	24 小时	7 天	Annex I, Part II, No. 7
MEDIUM	72 小时	30 天	最佳实践
LOW	7 天	下一次发布	最佳实践

3.2 依赖项监控

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

3.2 依赖项监控

3.2.1 概述

依赖项监控 (Dependency Monitoring) 持续监控我们所有仓库中的依赖项，并在安全更新可用时自动创建拉取请求 (Pull Request)。

3.2.2 工具

GitHub Dependabot

Dependabot 在所有仓库中启用，负责处理：

安全更新： 针对已知漏洞自动创建 PR
版本更新： 针对可用更新定期创建 PR（可配置）
告警： 针对新 CVE 的 GitHub Security Alerts

配置 (.github/dependabot.yml)：

yaml

version: 2
updates:
  # 示例：NPM
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
    open-pull-requests-limit: 10
    labels:
      - "dependencies"
      - "security"

  # 示例：Docker
  - package-ecosystem: "docker"
    directory: "/"
    schedule:
      interval: "weekly"
    labels:
      - "dependencies"
      - "docker"

  # 示例：GitHub Actions
  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      interval: "weekly"
    labels:
      - "dependencies"
      - "ci"

Dependabot 自动合并

对于非关键更新（来自受信任软件包的补丁更新），使用现有的自动合并工作流 (docker-maintenance-dependabot.yml)：

Dependabot 创建 PR
CI 流水线运行（测试、安全扫描）
成功后：自动批准
自动合并 (squash)

重要提示

自动合并仅针对补丁更新和受信任的生态系统启用。主版本和次版本更新需要手动审查。

GitHub Security Alerts

GitHub Security Alerts 在所有仓库中启用：

自动通知依赖项中的新 CVE
映射到特定的清单文件
严重程度分类（Critical、High、Medium、Low）
通过 Dependabot Security Updates 提供修复建议

Trivy 容器扫描

对于容器镜像，在 CI/CD 中额外使用 Trivy：

yaml

# 每次构建时自动扫描
- name: Trivy Vulnerability Scan
  uses: aquasecurity/trivy-action@master
  with:
    image-ref: ${{ env.IMAGE }}
    severity: CRITICAL,HIGH
    exit-code: 1    # 发现问题时构建失败

Docker 基础镜像监控

现有工作流 modules-docker-base-image-monitor.yml 监控基础镜像：

检测新的基础镜像版本
更新可用时自动创建 PR
确保操作系统软件包保持最新

3.2.3 监控矩阵

生态系统	工具	频率	自动合并
NPM	Dependabot	每周	补丁更新
NuGet	Dependabot	每周	补丁更新
pip/Poetry	Dependabot	每周	补丁更新
Docker	Dependabot + 基础镜像监控	每周	补丁更新
GitHub Actions	Dependabot	每周	次版本/补丁
Go Modules	Dependabot	每周	补丁更新
Composer (PHP)	Dependabot	每周	补丁更新

3.2.4 升级处理流程

Dependabot/Trivy 检测到 CVE
    |
    +-- 低/中等严重程度
    |   +-- 创建 PR -> 在下一个冲刺中审查
    |
    +-- 高严重程度
    |   +-- 创建 PR -> 24 小时内审查 -> 补丁发布
    |
    +-- 严重 (Critical)
        +-- 创建 PR -> 立即处理
            +-- Teams 通知安全负责人
            +-- 检查：是否正在被积极利用？
            |   +-- 是 -> ENISA 报告流程（24 小时）
            |   +-- 否 -> 48 小时内修补
            +-- 热修复发布

3.3 补丁管理

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

3.3 补丁管理

3.3.1 补丁管理策略

本策略定义了根据 CRA 为含有数字元素的产品提供安全更新的强制性流程。

法律依据

Art. 10(7) CRA: "制造商应确保通过安全更新及时修复漏洞，安全更新应免费提供给用户且不得延迟。"

Annex I, Part II, No. 7: "制造商应及时提供安全更新以修复已识别的漏洞，在技术可行的范围内按照最新技术水平尽快实施。"

3.3.2 补丁分类

级别	严重程度	响应时间	补丁期限	发布类型
P0 — 紧急	CRITICAL，正在被积极利用	立即	24 小时	热修复
P1 — 严重	CRITICAL，未被利用	4 小时	48 小时	热修复
P2 — 高危	HIGH	24 小时	7 天	补丁发布
P3 — 中等	MEDIUM	72 小时	30 天	次版本发布
P4 — 低危	LOW	7 天	下一次发布	计划发布

3.3.3 补丁流程

P0/P1：紧急和严重补丁

1. 收到 CVE 告警
   +-- CVE 监控、Dependabot、外部报告

2. 分诊（安全负责人）—— 4 小时内
   +-- 确认严重程度 (CVSS)
   +-- 识别受影响的产品
   +-- 评估可利用性
   +-- 如正在被积极利用 -> ENISA 早期预警（24 小时）

3. 补丁开发（开发团队）—— 立即开始
   +-- 依赖项更新或代码修复
   +-- 单元测试 + 集成测试
   +-- 安全审查

4. 补丁发布
   +-- 创建热修复分支
   +-- CI/CD 流水线（加速）
   +-- 更新 SBOM
   +-- 签名发布 (Cosign)
   +-- 发布版本

5. 用户通知
   +-- GitHub Security Advisory
   +-- 包含 CVE 引用的发布说明
   +-- 针对关键客户的直接通知

6. 后续跟进
   +-- ENISA 最终报告（如需报告）
   +-- 关闭 CVE Issue
   +-- 经验教训总结

P2/P3：高危和中等补丁

1. 收到 CVE 告警
2. 分诊（安全负责人）—— 24 小时/72 小时内
3. 添加到冲刺待办列表（按优先级排列）
4. 在常规开发周期内进行补丁开发
5. 按发布日历进行补丁发布
6. 更新 SBOM

P4：低危补丁

1. 收到 CVE 告警
2. 分诊 —— 7 天内
3. 添加到待办列表
4. 在下一次常规发布中修复

3.3.4 自动化

补丁管理的大部分流程已实现自动化：

步骤	自动化	手动
CVE 检测	CVE 监控 + Dependabot	-
Issue 创建	Critical/High 自动创建 Issue	Medium/Low 手动创建
PR 创建	Dependabot Security PR	代码修复手动创建 PR
CI/CD	自动化流水线	-
SBOM 生成	发布时自动生成	-
签名	发布时自动签名	-
用户通知	发布说明	P0/P1 的安全通告

3.3.5 安全更新——提供义务

根据 Art. 10(7) CRA，安全更新必须：

免费提供
及时发布
通过安全渠道交付（签名，确保完整性）
在产品的整个支持期内持续维护

对于基于容器的产品：

在 GHCR/Docker Hub 上更新容器镜像
签名镜像 (Cosign)
更新 SBOM 作为发布资产

对于基于固件的产品：

签名固件二进制文件
OTA 更新（在技术可行的情况下）
通过 GitHub Releases 下载

3.4 风险评估

BAUER GROUP — Tue, 10 Feb 2026 16:43:47 GMT

3.4 风险评估

3.4.1 方法论

漏洞和产品的风险评估 (Risk Assessment) 基于既定标准：

CVSS v3.1/v4.0 —— 通用漏洞评分系统 (Common Vulnerability Scoring System)，用于单个 CVE 的评分
SSVC —— 利益相关者特定漏洞分类 (Stakeholder-Specific Vulnerability Categorization)，用于优先级排序
CRA Annex I —— 要求目录作为评估框架

法律依据

Art. 10(2) CRA: "制造商应对含有数字元素的产品进行网络安全风险评估，并在产品的规划、设计、开发、生产、交付和维护过程中考虑该评估结果。"

3.4.2 CVE 风险评估（单个漏洞）

基于 CVSS 的初始评估

CVSS 评分	严重程度	CRA 优先级
9.0 -- 10.0	Critical（严重）	P0/P1
7.0 -- 8.9	High（高危）	P2
4.0 -- 6.9	Medium（中等）	P3
0.1 -- 3.9	Low（低危）	P4

上下文评估

CVSS 评分需通过上下文分析进行补充：

因素	评估内容	权重
可利用性	正在被积极利用 / PoC 可用 / 理论上可能	高
可达性	网络 / 本地 / 物理	高
数据暴露	个人数据 / 业务数据 / 无	中
影响范围	受影响的产品/客户数量	中
可缓解性	修复可用 / 临时方案 / 无	中

决策矩阵

                    可利用性
                    积极利用   PoC    理论上
严重程度     +----------------------------------+
Critical     |  P0       P1       P1            |
High         |  P1       P2       P2            |
Medium       |  P2       P3       P3            |
Low          |  P3       P4       P4            |
             +----------------------------------+

3.4.3 产品风险评估 (CRA Art. 10(2))

对每个 CRA 相关产品进行网络安全风险评估。使用风险评估模板。

评估类别

1. 威胁分析

潜在的攻击者是谁？（脚本小子、有组织犯罪、国家行为者）
存在哪些攻击向量？（网络、物理、供应链）
哪些资产面临风险？（数据、功能、可用性）

2. 影响分析

机密性 (Confidentiality)：哪些数据可能被泄露？
完整性 (Integrity)：哪些数据/功能可能被篡改？
可用性 (Availability)：可接受的停机时间是多少？
安全性 (Safety)：是否可能造成物理损害？（与固件/IoT 相关）

3. 可能性评估

攻击复杂度
所需权限
是否需要用户交互
攻击向量暴露程度

风险矩阵

                    可能性
                    高       中等      低
影响         +----------------------------------+
严重         |  CRITICAL  HIGH      MEDIUM       |
重大         |  HIGH      HIGH      MEDIUM       |
中等         |  HIGH      MEDIUM    LOW          |
轻微         |  MEDIUM    LOW       LOW          |
             +----------------------------------+

3.4.4 文档记录义务

每次风险评估必须记录：

评估日期
被评估的产品/版本
已识别的风险及评估结果
为风险缓解采取的措施
剩余残余风险及其理由
负责评估人
下次审查日期

风险评估是技术文档 (Annex VII) 的一部分，在产品发生重大变更或出现新的威胁态势时必须进行更新。

字段	值
产品类型	容器镜像
CRA 类别	标准
合规模块	模块 A（内部控制）
CE 标志	✅ 在"关于"对话框和文档中
欧盟符合性声明	[DoC 链接]
SBOM	[CycloneDX JSON — GitHub Release]
SECURITY.md	[链接]
用户信息 (Annex II)	[链接]
支持期限	2026-03-01 至 2031-03-01
漏洞披露	`disclosure@bauer-group.com`

CRA Compliance – BAUER GROUP (中文)

8.2 自动化工作流

8.2 自动化工作流

架构

可复用工作流

cra-release.yml — 发布制品

cra-scan.yml — 定期漏洞扫描

cra-report.yml — Hub API 报告

完整的消费者工作流

最小配置（零配置）

完整配置（所有参数）

参数参考

cra-release.yml

所需权限

发布制品

合规评分

8.1 工具映射

8.1 工具映射

8.1.1 工具 -> CRA 合规矩阵 CRA 合规矩阵"">

8.1.2 GitHub 生态系统

Dependabot

GitHub Security Advisories

GitHub Actions（自动化模板）

8.1.3 安全扫描

Trivy (Aqua Security)

Grype (Anchore)

OSV-Scanner (Google)

Snyk

Gitleaks + GitGuardian

8.1.4 SBOM 与合规

Syft (Anchore)

FOSSA / 许可证合规 (License Compliance)

8.1.5 签名与完整性

Cosign (Sigstore)

8.1.6 CRA 合规工作流（本仓库）

组合操作（CRA 专用）

组合操作（通用，在 automation-templates 中）

可复用工作流

CLI 工具

8.1.7 计划扩展

8.1.8 总结：通过工具实现的 CRA 覆盖

8.3 CRA 合规检查器 (cra-check)

8.3 CRA 合规检查器 (cra-check)

概述

使用方法

模式

本地模式

远程模式

输出

CI/CD 集成

退出码

要求

第8章：CRA 合规矩阵

第8章：CRA 合规矩阵

完整映射：CRA 条款 -> 文档 -> 工具 文档 -> 工具"">

按经济运营者角色划分的义务

按产品类别估算工作量

Art. 10 -- 制造商义务 (Obligations of Manufacturers)

Art. 13 -- 信息义务 (Information Obligations)

Art. 14 -- 报告义务 (Reporting Obligations)

Art. 16 -- 授权代表 (Authorised Representative)

Art. 28 -- 合规声明与 CE (Declaration of Conformity & CE)

Annex I, 第I部分 -- 安全要求 (Security Requirements)

Annex I, 第II部分 -- 漏洞处理 (Vulnerability Handling)

Annex II -- 用户信息 (User Information)

Annex VII -- 技术文档 (Technical Documentation)

图例

7.1 产品分类 (Product Classification)

7.1 产品分类 (Product Classification)

7.1.1 概述

7.1.2 分类决策树

7.1.3 产品类别

类别：标准（默认）

Class I（Annex III）

Class II（Annex III）

类别：关键（Annex IV）

7.1.4 各类别的合规评估

7.1.5 BAUER GROUP 的相关产品类型

对照 Annex III（重要产品）审查

对照 Annex IV（关键产品）审查

`cra-release.yml` — 发布制品

`cra-scan.yml` — 定期漏洞扫描

`cra-report.yml` — Hub API 报告

`cra-release.yml`

完整映射：CRA 条款 -> 文档 -> 工具文档 -> 工具"">