本文档正在积极开发中,尚未最终定稿。
Skip to content

第5章:供应链安全

概述

保障软件供应链安全是 CRA 的核心要求。制造商在集成第三方组件时必须履行尽职调查 (Due Diligence) 义务,并确保整个供应链的完整性。

法律依据

Art. 13(5) CRA: "制造商在集成来自第三方采购的组件时应尽职调查,以确保这些组件不会损害产品的安全性。"

Annex I, Part II, No. 1: "制造商应识别并记录产品中包含的漏洞和组件,包括编制软件物料清单。"

安全措施

已实施的措施

措施工具工作流状态
依赖项漏洞扫描Trivy, Grype, Snykmodules-security-scan.yml
自动化依赖更新Dependabotdocker-maintenance-dependabot.yml
许可证合规 (License Compliance)FOSSA / 自定义modules-license-compliance.yml
密钥扫描 (Secret Scanning)Gitleaks, GitGuardianmodules-security-scan.yml
Docker 基础镜像监控自定义工作流modules-docker-base-image-monitor.yml
容器镜像签名Cosigndocker-build.yml
SBOM 生成Trivy / Syftmodules-license-compliance.yml

章节结构

章节主题描述
5.1依赖政策依赖项管理策略
5.2基础镜像政策Docker 基础镜像管理
5.3第三方评估第三方组件评估
5.4经济运营者识别 (Art. 23)供应链可追溯性

NIS2协同效应

IT服务提供商和基础设施供应商评估在NIS2合规文档中描述。CRA侧重于软件供应链,NIS2侧重于服务提供商评估。

文档基于 CC BY-NC 4.0 许可 · 代码基于 MIT 许可