Đạo luật về khả năng phục hồi mạng của EU (CRA): Lộ trình hướng tới Software Tuân thủ chuỗi cung ứng và SBOM

CRA thiết lập khuôn khổ an ninh mạng ngang toàn EU đầu tiên cho các sản phẩm có yếu tố kỹ thuật số.

Quy định này nhằm mục đích:

• Giảm thiểu các lỗ hổng bảo mật hệ thống trong các sản phẩm kết nối.
• Tăng cường tính minh bạch trong chuỗi cung ứng phần mềm
• Đảm bảo quản lý lỗ hổng bảo mật trong suốt vòng đời sản phẩm.
• Chuyển trách nhiệm sang các nhà sản xuất

• Software các nhà sản xuất 
• Hardware các nhà cung cấp phần mềm nhúng 
• Các nhà nhập khẩu và phân phối 
• Các nhà phát triển tích hợp các thành phần của bên thứ ba hoặc mã nguồn mở. 
• Các nhà cung cấp sản phẩm kỹ thuật số quan trọng hoặc thiết yếu 

Các nhà sản xuất phải thực hiện thẩm định kỹ lưỡng đối với các linh kiện của bên thứ ba, bao gồm đánh giá các lỗ hổng đã biết và theo dõi các bản cập nhật bảo mật.

Các nhà sản xuất vẫn phải chịu trách nhiệm về các lỗ hổng bảo mật trên tất cả các thành phần tích hợp, bất kể nguồn gốc xuất xứ.

Sản phẩm phải được cung cấp với cấu hình mặc định an toàn và được thiết kế với tính năng an ninh mạng được tích hợp ngay từ đầu.

Các lỗ hổng bảo mật đang bị khai thác tích cực và các sự cố nghiêm trọng phải được báo cáo bắt đầu từ tháng 9 năm 2026.

• Tên linh kiện, phiên bản và thông tin nhà cung cấp.
• Ánh xạ phụ thuộc trực tiếp và bắc cầu
• Mã định danh duy nhất và xác thực mật mã
• Quản lý SBOM tập trung

• Vulnerability detection liên kết với cơ sở dữ liệu công cộng
• Quét phần mềm độc hại bên trong các gói phần mềm
• Xác định các rủi ro tiềm ẩn trước khi phát hành.
• Giám sát liên tục để phát hiện các lỗ hổng bảo mật mới.

Đánh giá:

• Các phương pháp kiểm kê phần mềm hiện hành
• Thế hệ SBOM hiện có
• Mức độ trưởng thành của việc giám sát lỗ hổng bảo mật
• Quy trình lưu trữ tài liệu

Xác định rõ vai trò cho:

• Các nhà phát triển
• Nhóm DevOps
• Đội an ninh
• Pháp lý/tuân thủ
• Mua sắm

Các công cụ nên:

• Tạo SBOM cho mỗi bản phát hành và cập nhật
• Tích hợp với các quy trình CI/CD
• Xuất định dạng CycloneDX và SPDX
• Xác thực các trường dữ liệu tối thiểu bắt buộc

Quá trình trưởng thành của SBOM diễn ra qua nhiều giai đoạn:

• Thiết kế SBOM (các thành phần dự kiến)
• Xây dựng SBOM (các thành phần đã biên dịch)
• Phân tích SBOM (kiểm tra sau khi lắp ráp)
• Đã triển khai SBOM (môi trường sản xuất)
• SBOM thời gian thực (giám sát chủ động)

Tập trung vào bảo mật, tối ưu hóa cho việc quản lý lỗ hổng bảo mật.

• Tích hợp việc tạo SBOM sớm ("chuyển sang trái")
• Tự động hóa việc lập bản đồ phụ thuộc
• Yêu cầu nhà cung cấp cung cấp dữ liệu SBOM bắt buộc.
• Đào tạo các nhóm về trách nhiệm của CRA.

• Tích hợp việc tạo SBOM sớm ("chuyển sang trái")
• Tự động hóa việc lập bản đồ phụ thuộc
• Yêu cầu nhà cung cấp cung cấp dữ liệu SBOM bắt buộc.
• Đào tạo các nhóm về trách nhiệm của CRA.

Hệ điều hành, trình ảo hóa, tường lửa và các thành phần cơ sở hạ tầng nền tảng đang phải đối mặt với sự giám sát chặt chẽ hơn.

Các tổ chức phải đảm bảo việc tuân thủ CRA phù hợp với các khuôn khổ an ninh mạng rộng hơn của EU (ví dụ: DORA).

OPSWAT SBOM trang bị cho các đội những công nghệ sau:

• Kiểm kê chính xác các thành phần phần mềm
• Tạo SBOM cho mã nguồn và container
• Tương quan lỗ hổng
• Khả năng hiển thị giấy phép

Xác định, ưu tiên và khắc phục các rủi ro của mã nguồn mở mà không làm chậm quá trình phát triển.

Vượt ra ngoài phạm vi tài liệu và giải quyết các mối đe dọa tiên tiến trong chuỗi cung ứng.

MetaDefender Software Supply Chain™ tích hợp tính năng kiểm tra bảo mật không tin cậy (zero-trust) vào vòng đời phát triển phần mềm (SDLC) bằng cách kết hợp quét đa lớp với hơn 30 công cụ chống virus, phát hiện bí mật được mã hóa cứng, phân tích sâu lớp container, nhận diện lỗ hổng và tích hợp gốc với kho lưu trữ và các đường dẫn CI/CD để ngăn chặn phần mềm độc hại, thông tin đăng nhập bị lộ và rủi ro phụ thuộc, đồng thời hỗ trợ tuân thủ các khuôn khổ như Đạo luật Khả năng phục hồi mạng của EU (EU Cyber ​​Resilience Act).