随着 Interniche NicheStack TCP/IP 即将结束通用支持,为 CRA 合规做好准备
Tuxera 致力于开发安全且能抵御互联...
我们随时为您提供帮助。
有问题或需要指导?无论您是在寻找资源还是想与专家联系,我们都能满足您的需求。使用右侧的搜索栏查找所需内容。
欧盟《网络弹性法案》(CRA)于 2024 年 12 月生效,其主要要求将从 2027 年 12 月起适用——距今还有两年多时间。该法案对您意味着什么?Tuxera 如何帮助您实现合规?
CRA CRA 旨在提升在欧盟销售的各类含数字元素的硬件或软件产品的网络安全,即可以直接或间接连接到另一设备或网络的产品。产品需要满足严格的网络安全要求,制造商也需要在产品生命周期内持续提供支持,例如及时的安全更新,以确保产品保持合规。
制造商还需要进行风险评估,制定明确的安全政策,规定至少五年内如何提供更新,并公开报告漏洞和安全事件。
CRA 于 2024 年 12 月生效。关于漏洞报告的义务将从 2026 年 9 月起适用,自 2027 年 12 月起,在欧盟市场上销售的任何产品都需要符合该法案的基本网络安全要求。
根据 根据 CRA,制造商有责任对其产品中的非商业软件进行尽职调查;如果软件不符合要求,制造商需承担潜在后果的责任。
在法律层面上,开源软件管理者(OSS管理者)不对安全漏洞负责,因此不能期望他们按需处理这些漏洞。
全面了解您的产品使用了哪些 OSS 库及其链接关系至关重要,因为其中可能存在不符合 CRA 要求的组件。您还需要为您使用的所有库维护软件物料清单 (SBOM)。您有责任根据 CRA 要求提供长期支持,并了解何时可能因修改而需要进行新的合规性评估。如果您在 OSS 中发现恶意元素,您需要验证解决该问题所需的补丁和更新。
一些批评者认为,CRA弊大于利,因为它会对创新产生负面影响,并对开发者提出不合理的要求。然而,考虑到近年来网络攻击的增加,互联设备需要具备抵御这些攻击的韧性。
设计、构建和维护这种韧性是有成本的。例如,您可能需要一个三到四人的专家团队来支持您的非商业库。另一个挑战是,构建自己的解决方案并非一蹴而就。构建一个安全的通信协议或加密库可能需要三到五个人年。
您可能还需要另外两到三个人来处理强制性的漏洞报告和解决。因此,这可能意味着需要新招聘七名员工和巨大的时间投入。
不遵守 CRA 可能会给您造成高额损失。被发现违反该法案的公司可能面临高达其全球营收 2.5% 的罚款,并失去其产品的 CE 认证,导致无法在欧盟销售。
每个制造含数字元素设备的组织都面临这些挑战。好消息是,Tuxera 可以帮助您应对这些挑战。
Tuxera 持续维护的商业软件采用“安全设计”原则,可帮助您符合欧盟《网络弹性法案》(CRA)的要求,并避免使用非商业软件可能带来的可观额外成本。我们提供开源替代方案无法比拟的安全更新和长期支持,包括漏洞扫描与报告、包含更新的支持与维护,以及集成问题方面的帮助。
此外,Tuxera 产品不使用外部组件,因此 SBOM 更为简单。
在最近的一个项目中,我们帮助客户通过安全协议和传输数据加密以及文件系统数据加密来保护其嵌入式设备。在该项目中,我们还使用了密钥协商算法来确保固件更新的安全性。客户还受益于我们清晰明确的漏洞处理与报告流程,以及确保产品生命周期内持续合规的支持与维护合同。
“安全设计”为静态数据和传输数据提供坚实可靠的安全保障。
对于关键任务的静态数据,Tuxera NitroFS 是一款高性能文件系统,包含 fs-crypt 支持,可在文件级别增强数据安全性。Tuxera EdgeFS 是一款嵌入式文件系统,专为在资源受限环境中保护关键数据而构建。您可以将 EdgeFS 与 Tuxera CryptoCore 配合使用,后者包含针对嵌入式系统优化的基本安全算法。
对于传输数据,Tuxera TCP/IP Stack为您的嵌入式系统提供安全且具备韧性的连接软件。
通过 Tuxera 嵌入式软件确保您的 CRA 合规,您将受益于:
立即联系我们,了解 Tuxera 如何帮助您确保 CRA 合规。
搜索内容: