市場への投入時における既知の悪用可能な脆弱性の不存在の確保

規則（EU）2024/2847第13条第6項および附属書I第I部第3項は、デジタル要素を含む製品を市場に投入する際、製造業者が製品に既知の悪用可能な脆弱性が含まれないことを確保することを義務付けている。

この義務は以下の場合に適用される：

• 市場への最初の投入時
• ユーザーに提供されるその後の各ソフトウェアアップデート時

1. リリース前脆弱性スキャン——すべてのリリース前にSCAおよびSASTチェックを実行する
2. CVE/EUVDチェック——すべてのコンポーネント（自社製および第三者製）を国家脆弱性データベース（NVD）、EU脆弱性データベース（EUVD）、および関連するアドバイザリフィードと照合して確認する
3. CVSS・クリティカルな出荷禁止——文書化された期限付きのリスク受容決定がない限り、既知のクリティカルまたは高深刻度の悪用可能な脆弱性を持った状態での出荷をしない
4. アップデートパイプラインのチェック——ユーザーに配信されるすべてのセキュリティアップデートおよび機能リリースに同じ「既知の脆弱性なし」ゲートを適用する
5. リリース時の文書化——出荷される各バージョンの脆弱性ステータスアセスメントを証拠として保管する

「既知の悪用可能」とは、CVEまたは同等のアドバイザリが公開されており、かつ、実際に展開された製品の文脈において実際の悪用経路が存在する脆弱性を意味する。通常の使用では行使できない理論的または高度に条件的なリスクは、リスク比例性の原則の下で評価される。

• 各リリースのSCAおよびSASTスキャンレポート
• 各リリース日時点のCVE/EUVDデータベース照会記録
• リスク受容記録（受け入れられた残留リスクについて）
• リリース前に解決されたすべての問題を示す脆弱性バックログ
• メジャーバージョンの侵入テスト結果