产品安全信息 (Product Security Information)

模板：根据 Annex II CRA 的面向用户安全信息

---

安全信息：[产品名称]

版本： [X.Y.Z] 日期： [YYYY-MM-DD] 制造商： BAUER GROUP

---

1. 制造商联系信息

字段	值
公司	BAUER GROUP
地址	[完整邮寄地址]
电子邮件（一般）	[电子邮件地址]
电子邮件（安全）	disclosure@cra.docs.bauer-group.com
网站	[URL]

2. 产品标识

字段	值
产品名称	[名称]
版本	[X.Y.Z]
产品类型	[软件 / 固件 / 容器镜像]
预期用途	[简要描述]
安全环境	[预期部署环境，例如 内部网、云、工业环境]

3. 安全相关属性

本产品提供以下安全功能：

• [ ] 通信加密 (TLS)
• [ ] 用户认证
• [ ] 基于角色的访问控制
• [ ] 自动安全更新
• [ ] 安全启动 (Secure Boot)（固件）
• [ ] 完整性保护（数字签名）

4. 可能导致网络安全风险的可预见情况 (Annex II 编号 5)

[与产品使用相关的、已知或合理可预见的、可能导致重大网络安全风险的情况：]

• [例如 在公共网络上不使用防火墙运行]
• [例如 用户使用过时的 TLS 版本]
• [例如 在未分段的 OT 网络中运行]

5. 欧盟合规声明 (Annex II 编号 6)

字段	值
欧盟合规声明的互联网地址	[合规声明的 URL，如以电子方式提供]

6. 安全安装与配置

[安全初始设置的分步说明]

推荐安全设置：

1. [例如 更改默认密码]
2. [例如 启用 TLS]
3. [例如 配置最小权限]
4. [例如 启用自动更新]

7. 修改对数据安全的影响 (Annex II 编号 8(b))

[描述对产品的修改（例如 配置变更、扩展、集成第三方组件）如何影响已存储或已处理数据的安全性]

8. 安全更新

字段	值
自动更新	[是 / 否 / 可配置]
更新渠道	[例如 GitHub Releases, Container Registry, OTA]
更新验证	[例如 Cosign 签名, SHA256]
更新通知	[例如 GitHub Watch, 电子邮件通讯]

| 禁用自动更新 | [描述如何禁用自动安全更新，包括对安全的影响] |

如何更新： [执行更新的说明]

9. 支持期限

字段	值
支持至	[日期 -- 至少 5 年]
安全更新至	[日期]
计划的生命周期结束	[日期 或 "尚未确定"]

支持期限届满后，将不再提供安全更新。用户将及时收到生命周期结束的通知。

10. 报告漏洞

如果您在本产品中发现安全漏洞：

1. 首选方式： 在对应仓库中提交 GitHub Security Advisory
2. 电子邮件： disclosure@cra.docs.bauer-group.com
3. 详情： 参见漏洞披露政策

请勿公开披露漏洞，直到修复可用为止。

11. 安全退役 (Annex II 编号 8(d))

如何安全退役/卸载本产品：

1. [例如 通过"重置数据"功能删除所有存储的数据]
2. [例如 撤销/轮换加密密钥]
3. [例如 删除与云服务的注册]
4. [例如 从私有 Registry 中删除容器镜像]

注意

请确保在退役前备份所有个人和业务关键数据，随后永久删除。

12. 产品处理的数据 (Annex II)

数据类别	描述	个人数据
[例如 遥测数据]	[描述]	[是 / 否]
[例如 认证数据]	[描述]	[是]
[例如 配置数据]	[描述]	[否]
[例如 日志数据]	[描述]	[是 / 否]

13. 与其他产品的集成 (Annex II 编号 8(f))

[关于本产品与其他含有数字元素的产品安全集成的信息，包括：]

• [例如 支持的 API 和接口]
• [例如 推荐的网络分段]
• [例如 所需的防火墙规则]
• [例如 对外部服务的依赖]

14. 已知限制

[已知的安全相关限制列表，例如：]

• [例如 产品不适用于安全关键基础设施]
• [例如 加密需要用户主动配置]

15. 更多文档

文档	链接
产品文档	[链接]
SBOM（软件物料清单）	[链接至 Release 资产]
安全公告订阅	[链接]
变更日志	[链接]