用户信息（Annex II）

概述

CRA 的 Annex II 定义了制造商必须向产品用户提供的强制性信息。这些信息必须清晰、易懂，并以用户容易获取的方式提供。

法律依据

Annex II CRA： 给用户的信息和说明。以下信息应随含数字元素的产品提供。

强制性内容

第1项 — 制造商信息

要求： 制造商的名称、注册商号或注册商标以及通讯地址。

BAUER GROUP 的实施方式：

• 每个产品仓库中：README.md 含制造商信息
• 产品网站上：法律声明/版本说明
• 软件中：关于对话框或页脚
• 文档中：扉页

模板规范：

制造商：BAUER GROUP
地址：  [公司地址]
电子邮件：[联系邮箱]
网址：  [产品 URL]

---

第2项 — 联系点 (Contact Point)

要求： 可报告漏洞的单一联系点，以及制造商的漏洞处理政策。

BAUER GROUP 的实施方式：

• 每个仓库中的 SECURITY.md（模板）
• 联系方式：disclosure@cra.docs.bauer-group.com
• 已启用 GitHub Security Advisories
• 引用披露策略

---

第3项 — 产品标识

要求： 产品的唯一标识：名称、型号、版本、批号/序列号。

BAUER GROUP 的实施方式：

• 所有软件采用语义化版本管理 (Semantic Versioning, SemVer)
• 容器镜像标签包含 SHA 摘要
• 发布说明包含版本、日期和变更日志
• SBOM 包含唯一产品标识 (CPE/PURL)

---

第4项 — 预期用途

要求： 产品的预期用途，包括安全环境。

BAUER GROUP 的实施方式：

• 产品描述（参考）：目的、目标受众、部署环境
• 运行条件： 操作系统、网络、硬件要求
• 安全环境： 前提条件（防火墙、VPN、网络分段）
• 限制： 明确记录产品不适用于什么

示例：

预期用途：用于管理[功能]的内部企业应用。
设计用于在企业防火墙后以经认证的访问方式运行。

不适用于：未经网络保护的公开运营、
在关键基础设施 (CRITIS) 中使用。

---

第5项 — 可预见的误用

要求： 可预见的误用场景的描述。

BAUER GROUP 的实施方式：

• 按产品类型识别典型误用场景
• 文档中的警告通知
• 防止误用的技术保障措施

典型误用场景：

场景	措施
在生产环境中使用默认密码	初始设置时强制更改密码
长时间不进行更新的运行	自动更新通知
将内部 API 暴露到互联网	文档中的警告、网络检查
使用过时的 TLS 版本	仅支持 TLS 1.2+，拒绝旧版本
禁用安全功能	停用时警告、审计日志

---

第6项 — SBOM 参考

要求： SBOM 可用性的通知（或获取 URL）。

BAUER GROUP 的实施方式：

• SBOM 作为发布资产发布
• 产品文档中的 SBOM URL
• 机器可读格式的 SBOM（CycloneDX JSON）

模板规范：

SBOM：可在 [Release-URL]/sbom.cdx.json 获取
格式：CycloneDX JSON v1.6
已签名：是（Cosign）

详情：SBOM与签名

---

第7项 — 支持期限

要求： 提供安全更新的期限，至少5年或预期产品生命周期。

BAUER GROUP 的实施方式：

• 支持期限记录在产品文档中
• 每个仓库的 SECURITY.md 中
• 产品网站上
• 发布说明中

详情：支持与生命周期

---

第8项 — 安装指南和安全配置

要求： 产品安全安装、配置、调试和使用的说明。

BAUER GROUP 的实施方式：

• 安装指南： 包含安全注意事项的分步说明
• 加固指南： 推荐的安全配置
• 检查清单： 安装后安全检查清单
• 最低要求： 已记录的系统先决条件

安装指南的内容：

1. 系统先决条件（包括安全要求）
2. 包含完整性验证的安装步骤
3. 初始设置（密码、MFA、网络）
4. 推荐的安全配置（加固）
5. 更新配置（自动/手动）
6. 备份设置

---

第9项 — EU 符合性声明

要求： EU 符合性声明 (EU Declaration of Conformity) 的引用或带 URL 的简化版本。

BAUER GROUP 的实施方式：

• 产品文档中的 EU 符合性声明 URL
• 根据 Annex VI 的简化版本（-> 简化 DoC）

---

第10项 — 更新信息

要求： 关于安全更新类型和位置的信息。

BAUER GROUP 的实施方式：

• 发布渠道已记录（GitHub Releases、Container Registry、OTA）
• 通知渠道（GitHub Watch、电子邮件、RSS）
• 文档中的更新说明

模板：用户信息

可填写模板：用户信息/产品安全信息

检查清单：Annex II

• [ ] 产品和文档中有制造商信息
• [ ] SECURITY.md 包含联系点和 CVD 策略
• [ ] 唯一产品标识（SemVer、摘要）
• [ ] 预期用途已记录
• [ ] 可预见的误用场景已识别并处理
• [ ] 产品文档中有 SBOM 参考
• [ ] 支持期限已确定并传达
• [ ] 包含安全注意事项的安装指南
• [ ] EU 符合性声明的引用
• [ ] 更新信息（渠道、通知、说明）