随着欧盟《网络弹性法案（CRA）》期限临近，实现CRA合规正成为众多企业的网络安全核心议题。医疗和汽车等强监管行业已证明法规如何推动安全解决方案的创建。如今CRA将要求更广泛的产品制造商达到同等安全水平。

但好消息是：CRA合规可成为制造商的重大变革机遇。其一，加强产品安全管理能规避安全漏洞导致的巨额损失；其二，率先建立卓越的漏洞管理与报告流程、第三方组件管理体系以及产品全生命周期安全设计实践的企业，将获得市场认可并形成竞争优势。

关于如何准备 CRA 合规要点的简短访谈摘要

在这篇博客中，我想与大家分享Qt Group如何开始CRA合规之旅，以及制造商如何确保其产品按时达到监管预期的一些见解。

您的 CRA 合规进展到哪个阶段了？

观察 Qt 客户的 CRA 合规现状，不同制造商当前所处阶段仍存在显著差异。部分厂商尚处于早期阶段，正试图识别哪些产品会受到影响；另一些则已组建网络安全部门详细审查法规条款，例如评估产品开发与维护流程的CRA合规性。

复杂之处在于，即便监管机构也尚未完全做好准备，因为《网络弹性法案》仍存在部分未明确条款。与此同时，日益临近的 CRA 生效日期正带来合规时间压力。以 Qt Group为例，在尚未建立认证部门的情况下，我们决定聘请外部审计师评估当前的 CRA 合规状况——尽管审计师目前也只能基于最佳假设开展工作。

这意味着，构建CRA合规体系需从现状评估起步。唯有如此，才能明确应优先处理的监管事项。

产品开发合规考量要点

越早开始为CRA合规做准备，就能在最后期限到来时准备得越充分。尽管仍存在不明确之处，但已有许多CRA要求的事项可以着手处理。让我们详细看看其中几项。

作为市场差异化优势的漏洞管理

漏洞管理是CRA的合规中的一项要求，具有转化为竞争优势的巨大潜力。

CRA 并未就如何处理安全更新提供严格指南，而是为公开披露发现的安全事件制定了通用标准，让制造商可以自由建立最适合自身的安全流程与实践。因此，展示您处理安全漏洞事件的速度可以成为差异化优势；妥善处理此类事件能建立用户信任，并对品牌形象产生重大积极影响。

制造商应明确其漏洞报告流程，尽可能通过邮件列表或其他预警通知渠道实现报告和用户沟通的自动化，并构建向客户提供安全补丁的能力（例如通过客户门户网站）。这些措施Qt Group目前已在实施。

漏洞管理的关键环节还包括能够识别产品中包含哪些组件及其版本。这将帮助制造商和终端用户在发生安全事件时，准确判断该事件是否影响当前产品，并确定哪些版本的产品需要应用特定的安全更新。

提升第三方组件管理的SBOM和沙箱技术

软件物料清单（SBOM）是一份可由机器处理的文档，它描述了产品中所使用组件的详细信息及供应链关系。例如，当使用Qt创建设备时，SBOM能够识别该设备包含哪些与安全相关的部件，这些部件既来自产品本身，也来自所使用的第三方。

由于SBOM也是CRA的直接技术要求，自动化生成SBOM将极大助力企业实现CRA合规。相较于法案中其他较为模糊的要求，SBOM属于较易满足的CRA合规项之一，因其在法规中具有明确定义。

然而，第三方管理的内容远不止于此。随着软件架构日益复杂，平台化方案日趋普及，尤其在工业环境中，最终往往由多家供应商的多个应用程序共同构成系统。这便引发出诸多问题：当其中某个应用出现安全漏洞时，如何保护整体产品不受影响？此时就需要借助沙箱技术——例如Qt Application Manager这类工具实现应用程序隔离，防止其与系统其他组件交互。该方案为制造商提供了对产品堆栈中应用程序生命周期的全面控制。

安全设计：CRA合规基石

漏洞管理通常侧重于事件发生后的处置措施，但事实上，事前防范安全事件对产品的侵害更为重要。因此，CRA要求制造商必须关注产品全生命周期管理，规定产品在整个生命周期内（默认至少五年）必须提供支持与安全更新。

不过，关于这五年期限还有更多需要考虑的因素。

以工业机器为例，仅产品开发就可能耗时 5 年。若在项目初期就决定使用Qt 6.8版本，五年后发布产品，并持续提供 20 年技术支持，这显然不切实际。正如OPC 基金会 所强调的，产品开发者必须学会规划升级路径和更新策略，早在原型阶段、远未发布产品前，就采用最新且最安全的技术。这是实现CRA合规的重要经验——若未从一开始做好升级准备，设备上市后必将付出沉重代价。

那么，如何从一开始就打造稳定、安全且成熟的解决方案呢？在部署更新前，必须确保功能、安全性或用户体验不会出现倒退。

在这些方面，质量保证工具可以从多个角度提供帮助。一个角度是使用Coco或Axivion 等工具进行静态分析，通过解析源代码在生产环境之前就检查潜在的安全问题。另一个角度是从更高层面出发，鉴于当今软件架构的复杂性，验证系统实现是否与其软件架构相匹配。 这能确保研发过程中不会意外创建可能引发安全漏洞的接口，从而进一步助力打造安全产品并实现 CRA 合规要求。

Qt Group对CRA合规性的看法

Qt Group在CRA合规方面自然采取双轨合规策略。首先，我们确保自身产品符合要求；其次，我们助力客户在不影响产品上市进度的前提下，更高效地满足CRA要求。

以下是Qt Group目前采取的CRA合规步骤：

• 整体风险评估：彻底审查了整个Qt框架，为每个组件标注了明确的风险严重程度指标，并制定了解决CRA合规事项的路线图。
• 加强漏洞管理：评估并更新内部流程以确保符合CRA要求，为商业版客户建立早期预警列表，帮助客户判断特定事件是否适用其产品，并指导如何将安全补丁更新至产品中。
• CVE编号机构(CNA)状态：Qt Group的所有产品都已获得了官方CNA授权，并更新了漏洞报告流程与实践，纳入CVE编号发放机制，同时满足CRA关于报告时限的要求。
• 符合CRA标准的支持生命周期： 将长周期支持(LTS) 版本延长至五年，以满足CRA的支持要求，并为需要更长支持周期的用户提供扩展安全维护等附加服务。
• Qt框架自动生成SBOM：作为构建流程的一部分，Qt 6.8.0 及后续版本已发布自动生成 SBOM的功能。
• 提供重要的CRA信息：上线专属CRA网页空间，集中展示关于CRA要求的核心内容、Qt Group当前合规进展以及制造商需考量的关键要素。

Qt Group 目前仍在推进部分 CRA 合规事项的落实工作，您可以在专门的CRA网页空间查看相关进展详情。我们定期与客户就 CRA 相关需求及预期进行沟通，以共同应对合规挑战，实现多方共赢的最优解。

构建安全优先思维

Qt技术积淀30年。正因如此，我们早已建立了完善的安全实践与流程体系，现在只需针对CRA合规要求进行调整即可。事实上，Qt Group欢迎CRA方案的出台，因为这将我们长期以来帮助客户提升产品安全性的工作正式规范化。在此，我们建议所有制造商即刻启动CRA合规建设。

如何识别漏洞？如何交付补丁？如何构建原生安全产品？合规事项如何划分优先级？您能否将合规事项分解为"低复杂度"和"高工作量"任务，并优先处理简单事项？找到最适合每个制造商的解决方案不仅能帮助实现监管合规，还将在竞争激烈的市场中建立信任与差异化优势。

希望这里分享的想法能为 CRA 的准备工作提供一个有益的起点。如果您仍有疑问，请联系我们，预约CRA专项研讨会，我们将协助评估您当前的合规状态并制定达标路径。

另请参阅