Produktüberblick

Vom SBOM zu erhaltener CRA Evidence.

CRA Ledger verbindet SBOM Intake, Vulnerability Review, Remediation Tracking, Audit History und Readiness Reporting über Produktversionen hinweg.

CRA Ledger Produkt-Dashboard

Produktansicht

CRA Ledger Dashboard mit Review-Fortschritt, ausstehenden Reviews, Severity-Filtern, Risikotrend, aktuellen Scans und Top-Risk-Komponenten

Beispiel einer Produktansicht — Portfolio Evidence, SLA-Druck und Review-Fortschritt.

Guided Pilot Access

No-cost 30-Tage Guided Pilot für 1–3 Produktversionen oder SBOMs.

Wir ordnen vorhandene Release Evidence, richten SBOM-Komponenten-Tracking und Background Vulnerability Alerting ein, erfassen Review-Entscheidungen, Owner und Zeitstempel, identifizieren Lücken und bereiten ein Draft Product-Version Evidence Pack vor.

Produktfunktionen

Was CRA Ledger beim Management unterstützt

Eine strukturierte Arbeitsebene für Product-Version Evidence, SBOM Intake, Vulnerability Review, Remediation-Arbeit und erhaltene Aktivitätshistorie.

Evidence Workspace

Product-Version Records

Verbinden Sie SBOMs, Findings und Evidence mit Produkt-/Versionskontext für erhaltene Release-Historie.

Evidence File Uploads

Hängen Sie unterstützende Dateien oder externe Referenzen an Vulnerability-Review-Entscheidungen.

Decision Rationale

Erfassen Sie Review-Status, Begründung, Details und Reviewer-Kontext.

Owner & Timestamp History

Bewahren Sie Owner-, Reviewer- und Zeitstempel-Kontext über Review- und Evidence-Aktivität.

SBOM & Komponenten-Records

SBOM Intake

Laden Sie SBOM-Dateien über den Produktworkflow oder authentifizierte Intake-Endpunkte hoch.

CycloneDX/SPDX Parsing

Erkennen und parsen Sie unterstützte CycloneDX- und SPDX-Formate für Review.

Component Normalization

Überführen Sie Komponentendaten in strukturierte, durchsuchbare Component Records.

Original Artifact Retention

Bewahren Sie Upload-Artefakte mit Quellenmetadaten und SHA-256-Hash-Records.

Hash/Source Metadata

Halten Sie Dateinamen, Upload-Metadaten und Content Hashes an Evidence gebunden.

Vulnerability & Remediation

Vulnerability Review

Reviewen Sie CVE-Findings gegen normalisierte Komponenten-Inventare.

Severity/Status/Owner Tracking

Verfolgen Sie Severity, Review-Status und Ownership über Vulnerability Findings.

SLA Visibility

Zeigen Sie überfällige und zeitkritische Review-Pressure anhand von Severity-Zeiträumen.

Remediation Tracking

Erfassen Sie Remediation-Status, Notizen, Resolved Dates und unterstützende Evidence-Referenzen.

Audit Trail & Readiness

Evidence History

Bewahren Sie Review Records, Evidence Attachments, Report-Historie und Ingestion-Aktivität.

Audit Activity Log

Verfolgen Sie tenant-scoped operative und Review-Aktivität für spätere Prüfung.

Readiness ReportingPartial

Bereiten Sie Product-Security Summaries und Reports für Readiness-Gespräche vor.

Exportable Evidence SummariesPartial

Laden Sie verfügbare Reports und Evidence Summaries herunter, ohne rechtliche Zertifizierung zu behaupten.

Alerts & Integrationen

Email AlertsPartial

Notification Delivery ist verfügbar, wenn konfiguriert; Alert-Abdeckung wird weiter ausgebaut.

Authenticated Intake APIPartial

Programmatischer SBOM Intake existiert für authentifizierte Workflows, nicht als breites öffentliches API-Programm.

Intake WebhooksPartial

Webhook Subscriptions unterstützen Intake Events; breitere Integrationsabdeckung reift weiter.

Slack AlertsPlanned

Finding-Status-Alerts direkt in Engineering-Kanäle senden.

Scanner ImportsPlanned

Findings aus externen Scannern und Registries synchronisieren.

Sicherheit & Administration

Tenant-scoped History

Workspace-Daten, Reports und Audit-Historie bleiben im Tenant-Kontext.

Access Controls (RBAC)

Rollen helfen, Least-Privilege-Zugriff auf Evidence Workflows umzusetzen.

Admin-visible Activity

Administratoren sehen Audit Records zu Konfigurationsänderungen.

Security Contact Process

Ein öffentlicher Kontaktpfad steht für Responsible Security Reports bereit.

Workflow Outcomes

Was CRA Ledger liefert

Halten Sie Product-Security-Arbeit vom Intake bis zu releasefähiger Evidence verbunden.

Product-Version Evidence

SBOMs, Findings, Entscheidungen und Remediation-Historie bleiben an eine Produktversion gebunden.

Review-fähiger Risikokontext

CVEs, Owner, SLA-Druck und Review-Entscheidungen bleiben in einem Workflow sichtbar.

Erhaltener Product-Version Record

Original-Uploads, Entscheidungen, Zeitstempel und Evidence-Historie bleiben für CRA-Readiness erhalten.

Process Flow

Wie der Evidence Workflow funktioniert

Eine systematische Pipeline, die rohe Engineering-Artefakte in erhaltene Product-Security Evidence Records überführt.

1

Produktversion registrieren

Registrieren Sie ein Softwareprodukt und definieren Sie seine Release-Version.

2

SBOM Evidence hinzufügen

Laden Sie CycloneDX- oder SPDX-Dateien hoch, um das Komponenten-Inventar zu indexieren.

3

Komponenten normalisieren

Parsen und mappen Sie Komponenten-Koordinaten für strukturierten Review.

4

Vulnerabilities reviewen

Triagieren Sie CVEs mit Severity-Details, Review-State und Entscheidungen.

5

Remediation verfolgen

Behalten Sie SLA-Druck, Remediation-Status und Review-Updates im Blick.

6

Evidence-Historie erhalten

Bewahren Sie Upload-Artefakte, Entscheidungen und Reviewer-Zeitstempel.

7

Readiness Output vorbereiten

Bereiten Sie Evidence Summaries und Reports für Release-Readiness Reviews vor.

Deliverables

Das Ergebnis: erhaltene Product-Version Evidence

CRA Ledger hilft Teams, SBOMs, Vulnerability Decisions, Remediation-Kontext, Zeitstempel, Reviewer-Kontext und Audit Activity mit der jeweiligen Produktversion verbunden zu halten.

Original-SBOM erhalten

Bewahren Sie rohe CycloneDX- und SPDX-Dateien mit Quellenmetadaten und SHA-256-Hash-Records.

Review-Entscheidungen protokolliert

Vulnerability Decisions können Begründung, Reviewer-Kontext, Status und Zeitstempel dokumentieren.

Remediation-Kontext erhalten

SLA-State, Finding-Status und Remediation-Notizen bleiben mit betroffenen Komponenten verbunden.

Audit Activity verfügbar

Historische Logs verfolgen Re-Analysen, Imports und Benutzeränderungen.

Readiness Summary vorbereitet

Summaries und Reports unterstützen Readiness-Gespräche, ohne rechtliche Zertifizierung zu behaupten.

Produktstatus

Was verfügbar ist und was als Nächstes kommt

CRA Ledger unterscheidet verfügbare Produktfähigkeiten von reifenden Workflow-Bereichen und Roadmap-Ideen, damit Pilot-Teams ohne Roadmap-Unklarheit evaluieren können.

Available now

Aktuelle Workflow-Bereiche, die heute in CRA Ledger verfügbar sind.

Available
Product-Version Evidence Records
Owner and Timestamp History
SBOM Intake
CycloneDX/SPDX Parsing
Component Normalization
Original Artifact Retention
Hash and Source Metadata
Vulnerability Review
Severity, Status und Workflow-State Tracking
SLA Visibility
Remediation Status Tracking
Evidence History
Audit Activity Log
Tenant-scoped History
Role-based Access Controls
Admin-visible Activity
Security Contact Process
Geplante Vulnerability Re-Checks alle 2 Stunden
Evidence Pack Generation

Partial / maturing

Capabilities, die heute eingeschränkt existieren oder von Konfiguration, Workflow-Abdeckung oder Kundensetup abhängen.

Partial
Readiness Reporting
Exportable Evidence Summaries
Evidence File Uploads
Decision Rationale Capture
Email Alerts
Authenticated Intake API
Intake Webhooks
Dashboard Analytics
Backup and Restore Operations

Planned / roadmap

Zukünftige Produktrichtungen, getrennt ausgewiesen, damit Käufer Bestehendes von Geplantem unterscheiden können.

Roadmap
Supplier Evidence Portal
Customer Evidence Packs
Scanner Imports
Slack Alerts
Expanded Webhook Coverage
Advanced Reporting
Manuelles “Re-check now”
Product/Version Dashboard Filters
Multi-Regulation Workflows
Status Page

Trust und Scope

Für Readiness Evidence entwickelt, nicht für rechtliche Zertifizierung.

CRA Ledger hilft, Product-Security Evidence und CRA-Readiness Workflows zu organisieren. Es stellt keine rechtliche Zertifizierung, keine Notified-Body-Freigabe und keine Compliance-Garantie bereit.

Next step

Starten Sie mit CRA Evidence, bevor der Druck steigt.

Buchen Sie eine fokussierte Produktdemo des SBOM-to-Evidence Workflows.