第三章:漏洞管理
3.1 概述
漏洞管理 (Vulnerability Management) 是 CRA 下的核心义务之一。制造商必须在整个支持期内对其产品中的漏洞进行识别、评估、修复和报告。
法律依据
Art. 10(6) CRA: 制造商应建立有效且定期的程序,以识别产品中的漏洞。
Annex I, Part II, No. 2: 制造商应识别和记录产品的漏洞和组件,并及时修复已知漏洞。
3.2 流程架构
+---------------------+
| SBOM(每次发布) |
+----------+----------+
|
+----------+----------+----------+----------+
v v v v v
+--------------+ +--------+ +--------+ +--------+ +--------+
|CVE 监控 | |Dependa-| | Trivy | | OSV- | | Grype |
|(每日 SBOM) | | bot | | 扫描 | |Scanner | |(可选)|
| | |(PR) | |(CI/CD)| |(CI/CD)| | |
+------+-------+ +---+----+ +---+----+ +---+----+ +---+----+
| | | | |
+-------------+----------+----------+----------+
v
+----------------------+
| 分诊与评估 |
| (CVSS / 严重程度) |
+----------+-----------+
|
+----------------+----------------+
v v v
+-----------------+ +--------------+ +--------------+
| 严重/高危 | | 中等/低危 | | 无 CVE |
| -> 立即修补 | | -> 计划修复 | | -> 继续监控 |
| -> 如需向 | | -> 下一次 | | |
| ENISA 报告 | | 发布 | | |
+-----------------+ +--------------+ +--------------+3.3 章节结构
| 章节 | 主题 | 描述 |
|---|---|---|
| 3.1 | CVE 监控 | 每日扫描所有产品 SBOM 与 CVE 数据库进行比对 |
| 3.2 | 依赖项监控 | 通过 Dependabot + GitHub Security Alerts 持续监控 |
| 3.3 | 补丁管理 | 基于 SLA 的漏洞修复流程 |
| 3.4 | 风险评估 | 产品上下文中的评估方法论 |
| 3.5 | 处理要求 (Annex I Part II) | 8 项漏洞处理要求 |
3.4 职责
| 角色 | 任务 |
|---|---|
| 安全负责人 (Security Lead) | 分诊、风险评估、升级处理、ENISA 报告 |
| DevOps 负责人 | CVE 监控运维、流水线维护 |
| 开发团队 | 补丁开发、测试 |
| 产品负责人 (Product Owner) | 优先级排序、发布计划 |