6.3 第三方评估 (Third-Party Assessment)
第三方组件评估
根据 Art. 10(4) CRA,制造商在集成第三方组件时必须履行尽职调查 (Due Diligence) 义务。本页描述了评估流程。
评估框架
自动化检查(针对每个依赖项)
这些检查在 CI/CD 流水线中自动执行:
| 检查项 | 工具 | 是否阻止构建 |
|---|---|---|
| 已知 CVE (CRITICAL) | Trivy / Grype | ✅ |
| 已知 CVE (HIGH) | Trivy / Grype | ✅ |
| 禁止的许可证 | License Compliance | ✅ |
| 暴露的密钥 | Gitleaks / GitGuardian | ✅ |
人工审查(针对新的关键依赖项)
在安全关键领域引入新依赖项时,需进行额外的人工评估:
| 标准 | 评估内容 | 权重 |
|---|---|---|
| 维护者声誉 | 已验证的账户、知名组织 | 高 |
| 项目活跃度 | 定期提交、积极解决 Issue | 高 |
| 安全响应 | 对已报告漏洞的响应时间 | 高 |
| 代码质量 | 测试、CI/CD、代码审查 | 中 |
| 依赖深度 | 传递依赖(越少越好) | 中 |
| 替代方案 | 是否有更安全的替代方案? | 中 |
| 采用率 | 下载量、用户群 | 低 |
评级量表
| 评级 | 含义 | 操作 |
|---|---|---|
| A -- 可信 | 所有标准均满足,积极维护 | 批准使用 |
| B -- 可接受 | 存在轻微限制,整体可信 | 在监控下使用 |
| C -- 存在风险 | 存在显著限制 | 仅在有合理理由 + 审查后使用 |
| D -- 不可接受 | 存在关键限制 | 禁止使用 |
特殊情况:厂商 SDK(嵌入式)
对于固件项目,厂商 SDK(ESP-IDF、STM32 HAL、Zephyr)需单独评估:
| SDK | 评级 | 理由 |
|---|---|---|
| ESP-IDF (Espressif) | A | 官方 SDK,积极维护,SBOM 可用 |
| STM32 HAL (STMicroelectronics) | A | 官方 SDK,工业级 |
| Zephyr RTOS | A | Linux Foundation 项目,Security WG 活跃 |
| PlatformIO | B | 社区项目,广泛采用 |
持续监控
所有集成的第三方组件在集成后持续监控:
- Dependabot -- 每周检查新版本和 CVE
- CVE 监控 -- 每日将 SBOM 与当前 CVE 数据库进行比对扫描
- 许可证合规 -- 每次构建时检查
- 基础镜像监控 -- 每周检查新的基础镜像版本
文档
对于技术文档 (Technical Documentation)(Annex VII CRA),需维护所有第三方组件的列表:
- SBOM 作为机器可读的清单
- 人工评估存储在产品文档文件夹中
- 许可证合规报告作为构建工件存档