Zum Inhalt

CRA-Readiness (Cyber Resilience Act)

Das CRA-Modul unterstützt die strukturierte Gap-Analyse für Produkte mit digitalen Elementen gemäß Regulation (EU) 2024/2847.

Verzeichnisstruktur

cra/
├── __main__.py
├── config.py
├── db.py
├── requirements.py
├── io_xlsx.py
├── report_export.py
├── repo_alignment.py
├── ci_evidence_ingest.py
├── ci_autoanswer.py
└── gui_module.py

Datenhaltung

  • CRA-Projekte und Bewertungen: data/db/cra.sqlite
  • Evidence Library (Nachweise, Chunks, Mappings): data/db/evidence.sqlite

CRA-DB Tabellen (Auszug):

  • cra_projekte (inkl. meta_json)
  • cra_bewertungen
  • cra_owasp_checks

OWASP Security by Design

Im Tab "OWASP SbD" ist eine OWASP Proactive Controls Checkliste integriert.

  • Dataset (minimal, mit Referenzen): cra/owasp_proactive_controls.py
  • Persistenz: cra_owasp_checks

Repo-Abgleich (GitHub)

Der Button "Abgleichen" nutzt gh api und prüft deterministische Repo-Signale (z.B. SECURITY.md, CODEOWNERS, dependabot.yml, .github/workflows).

Code: cra/repo_alignment.py

Linked App (GitHub/GitLab)

CRA-Projekte können mit einem Repo/Projekt verknüpft werden. Die Einstellungen liegen unter:

  • cra_projekte.meta_json.linked_app

Felder (v1):

  • provider: github | gitlab
  • repo: org/repo oder URL (GitHub) bzw. group/project oder Projekt-ID/URL (GitLab)
  • branch: z.B. cra/ai-main
  • base_url (GitLab, optional): z.B. https://gitlab.com
  • token_env (GitLab, optional): z.B. GITLAB_TOKEN

CI Evidenzen importieren

Über "CI Evidenzen importieren" werden die letzten erfolgreichen CI-Artefakte (SBOM/OSV/Evidence Pack) heruntergeladen und als Nachweise in die Evidence Library importiert.

  • GitHub: Download via gh run list/download
  • Import: als ci-artifact + sofortiges Extract/Chunking

Code: cra/ci_evidence_ingest.py

CRA Auto-fill aus CI

Über "CRA Auto-fill aus CI" werden deterministische Prefill-Vorschläge aus CI-Evidenzen erzeugt (z.B. SBOM vorhanden, OSV Scan vorhanden) und in prefill_suggestions geschrieben.

Code: cra/ci_autoanswer.py

Bericht: Send-to GitHub/GitLab

Im CRA-Bericht-Panel gibt es Buttons zum Senden des zuletzt erzeugten Reports in das verknüpfte Repo/Projekt.

Zielpfad (v1): compliance/cra/reports/<projekt>/...