Zapewnienie braku znanych podatności możliwych do wykorzystania w chwili wprowadzenia do obrotu
- Dotyczy
- Manufacturer
- Cytowania źródeł
- Art. 13(6)Annex I Part I §3
- Klasy produktów
- DefaultImportant — Class IImportant — Class IICritical
Prosty język
Nie wolno świadomie dostarczać produktu z błędami bezpieczeństwa, które mogą być wykorzystane. Przed każdym wydaniem — w tym aktualizacjami oprogramowania — należy sprawdzić własny kod i wszystkie komponenty stron trzecich pod kątem baz danych znanych podatności (takich jak NVD i EUVD). Znalezione problemy należy naprawić przed wydaniem.
Tekst prawny
Artykuł 13 ust. 6 rozporządzenia (UE) 2024/2847 oraz Załącznik I Część I §3 wymagają, aby przy wprowadzaniu produktu z elementami cyfrowymi do obrotu producenci zapewnili, że produkt nie zawiera żadnych znanych podatności możliwych do wykorzystania.
Obowiązek ten ma zastosowanie:
- przy pierwszym wprowadzeniu do obrotu
- przy każdej kolejnej aktualizacji oprogramowania udostępnianej użytkownikom
Kluczowe wymagania
- Skanowanie podatności przed wydaniem — uruchomienie kontroli SCA i SAST przed każdym wydaniem
- Weryfikacja CVE/EUVD — sprawdzenie wszystkich komponentów (własnych i stron trzecich) pod kątem Krajowej Bazy Danych Podatności (NVD), Europejskiej Bazy Danych Podatności (EUVD) i właściwych kanałów doradczych
- Zakaz wysyłania z krytycznymi CVSS — nie wolno dostarczać produktu ze znanymi krytycznymi lub wysokimi podatnościami możliwymi do wykorzystania, chyba że na miejscu jest udokumentowana, ograniczona czasowo decyzja o akceptacji ryzyka
- Weryfikacja pipeline aktualizacji — ta sama kontrola braku znanych podatności ma zastosowanie do każdej aktualizacji bezpieczeństwa i wydania funkcjonalnego wysyłanego do użytkowników
- Dokumentowanie przy wydaniu — przechowywanie oceny stanu podatności dla każdej wysłanej wersji jako dowodu
Wyjaśnienie zakresu
„Znana możliwa do wykorzystania" oznacza podatności, dla których opublikowano CVE lub równoważne ostrzeżenie i dla których istnieje praktyczna ścieżka eksploitacji w kontekście produktu w sposób, w jaki jest wdrożony. Zagrożenia teoretyczne lub wymagające bardzo specyficznych warunków, które nie mogą być zrealizowane w normalnym użytkowaniu, są oceniane na podstawie zasady proporcjonalności do ryzyka.
Dokumenty, które mogą być wymagane
- Raporty ze skanowania SCA i SAST dla każdego wydania
- Zapisy zapytań do bazy danych CVE/EUVD przy każdej dacie wydania
- Zapisy akceptacji ryzyka (dla zaakceptowanego ryzyka rezydualnego)
- Rejestr podatności wykazujący wszystkie problemy rozwiązane przed wydaniem
- Wyniki testów penetracyjnych dla głównych wersji