第5章:供应链安全
概述
保障软件供应链安全是 CRA 的核心要求。制造商在集成第三方组件时必须履行尽职调查 (Due Diligence) 义务,并确保整个供应链的完整性。
法律依据
Art. 13(5) CRA: "制造商在集成来自第三方采购的组件时应尽职调查,以确保这些组件不会损害产品的安全性。"
Annex I, Part II, No. 1: "制造商应识别并记录产品中包含的漏洞和组件,包括编制软件物料清单。"
安全措施
已实施的措施
| 措施 | 工具 | 工作流 | 状态 |
|---|---|---|---|
| 依赖项漏洞扫描 | Trivy, Grype, Snyk | modules-security-scan.yml | ✅ |
| 自动化依赖更新 | Dependabot | docker-maintenance-dependabot.yml | ✅ |
| 许可证合规 (License Compliance) | FOSSA / 自定义 | modules-license-compliance.yml | ✅ |
| 密钥扫描 (Secret Scanning) | Gitleaks, GitGuardian | modules-security-scan.yml | ✅ |
| Docker 基础镜像监控 | 自定义工作流 | modules-docker-base-image-monitor.yml | ✅ |
| 容器镜像签名 | Cosign | docker-build.yml | ✅ |
| SBOM 生成 | Trivy / Syft | modules-license-compliance.yml | ✅ |
章节结构
| 章节 | 主题 | 描述 |
|---|---|---|
| 5.1 | 依赖政策 | 依赖项管理策略 |
| 5.2 | 基础镜像政策 | Docker 基础镜像管理 |
| 5.3 | 第三方评估 | 第三方组件评估 |
| 5.4 | 经济运营者识别 (Art. 23) | 供应链可追溯性 |
NIS2协同效应
IT服务提供商和基础设施供应商评估在NIS2合规文档中描述。CRA侧重于软件供应链,NIS2侧重于服务提供商评估。