9.4 维护与更新

9.4.1 更新触发条件

CRA 合规声明必须在以下事件发生时更新：

触发条件	受影响字段	期限	优先级
新的主要/次要版本发布	product.version、conformity.*、sbom_url	投放市场前	🔴 高
CRA 产品类别变更	cra_classification.*	立即	🔴 高
新的/变更的协调标准	harmonised_standards[]	30 天内	🟡 中
新的 CRA 授权/实施法案	取决于内容	30 天内	🟡 中
支持期限变更	support_period.*	立即	🔴 高
合规模块变更	cra_classification.conformity_module	下次发布前	🟡 中
制造商数据变更	manufacturer.*	14 天内	🟢 低
新的漏洞披露政策	security_documentation.*	14 天内	🟡 中

法律依据

Art. 10(12) CRA： "制造商应确保产品 [...] 在整个支持期内符合基本要求。"

这意味着有义务保持公开合规展示的最新状态。

9.4.2 审查周期

定期审查

周期	范围	负责人
每次发布	所有字段的完整审查	产品负责人
每半年	即使没有发布也进行主动审查	安全负责人
每年	与当前 CRA 状态（授权法案）对齐	合规官

审查清单

• [ ] 所有必填字段已填写且最新？
• [ ] 引用的 URL 可访问？
• [ ] 支持期限仍然有效？
• [ ] DoC 日期最新（新版本发布时）？
• [ ] SBOM 链接指向当前版本？
• [ ] 协调标准仍然适用？
• [ ] 产品类别仍然正确？

9.4.3 版本控制

CRA 合规声明与产品代码一起版本控制：

方面	规则
存储位置	产品仓库中的 .compliance/cra-statement.json
版本控制	Git 历史 = 审计跟踪
变更日志	每次内容更改时递增 metadata.statement_version
发布关联	声明随发布标签冻结

示例工作流

1. 开发人员更新 .compliance/cra-statement.json
2. Pull Request / 代码审查
3. CI 验证 JSON Schema（→ 9.3）
4. 合并到 main
5. 发布标签 → 声明自动发布（→ 9.2）

9.4.4 职责

角色	任务	时间
产品负责人	内容准确性，识别触发条件	每次发布
安全负责人	验证安全相关字段（SBOM、CVD、标准）	每半年 + 事件发生时
DevOps	维护 CI/CD 管道，确保 Schema 验证	管道变更时
合规官	识别法规变更，启动 Schema 更新	每年 + 临时

9.4.5 自动化

CI/CD 检查

检查	时间	失败操作
JSON Schema 验证	每次 PR/推送	阻止构建
必填字段完整性	每次 PR/推送	阻止构建
URL 可达性	每周（计划任务）	Slack/Teams 警告
支持到期警告	每天	到期前 90/30/7 天告警
声明过期警告	每月	超过 6 个月无更新时告警

自动发布

发布标签 → CI/CD → 合规门户更新

详情：9.2.6 CI/CD 集成

通知

事件	渠道	接收者
声明已发布	Slack/Teams	产品负责人、安全负责人
验证失败	CI/CD	开发人员
支持即将到期	邮件 + Slack	产品负责人、管理层
声明过期（>6个月）	Slack	产品负责人

9.4.6 特殊情况

产品生命周期结束

当产品达到支持期限结束时：

1. 将 support_period.phase 设置为 eol
2. 合规声明保持发布状态（10 年保留要求，Art. 10(13)）
3. 引用后续产品（如有）
4. 不再提供安全更新——明确沟通

实质性修改 (Art. 20)

发生实质性修改时：

1. 进行新的合规评估（→ 1.8 实质性修改）
2. 签发新的欧盟符合性声明
3. 完全更新 CRA 合规声明
4. 在门户上作为新版本发布

9.4.7 交叉引用

主题	链接
JSON Schema 和验证	9.3 机器可读格式
发布管道	9.2 发布策略
支持与生命周期	6.4 支持与生命周期
实质性修改	1.8 实质性修改
SBOM 保留	2.3 归档与保留