Přeskočit na obsah
SynergyBit
CRA služby

Security-by-design a bezpečný vývoj (SDLC) dle CRA

Zabudujte bezpečnost do vývoje od návrhu až po vydání – tak, jak CRA vyžaduje.

CRA vyžaduje, aby produkty byly bezpečné už ve výchozím nastavení a aby byla bezpečnost součástí celého životního cyklu vývoje – ne až dodatečnou kontrolou před vydáním. To znamená promítnout bezpečnostní požadavky do návrhu, vývoje, testování i údržby.

Pomůžeme vám zavést security by design a bezpečný SDLC do vaší reality: doplníme chybějící kroky, definujeme bezpečné výchozí nastavení a nastavíme testování i kontrolu komponent tak, aby výstupy obstály jako důkaz souladu s přílohou I.

Co dostanete

Zásady security by design

Bezpečnostní principy a požadavky promítnuté do návrhu produktu, navázané na základní požadavky přílohy I CRA.

Bezpečné výchozí nastavení

Definice výchozí konfigurace bez známých zranitelností, minimalizace útočné plochy a bezpečných továrních hodnot.

Bezpečný SDLC

Začlenění bezpečnostních aktivit do jednotlivých fází vývoje – od požadavků přes code review po release a údržbu.

Testování a komponenty

Plán bezpečnostního testování a due diligence open-source i dodavatelských komponent (SBOM).

Jak to probíhá

  1. 01

    Posouzení vývoje

    Zmapujeme váš současný vývojový proces a porovnáme ho s požadavky CRA na bezpečnost.

  2. 02

    Návrh opatření

    Doplníme chybějící bezpečnostní aktivity, definujeme výchozí nastavení a plán testování.

  3. 03

    Zavedení a doložení

    Pomůžeme opatření zavést a nastavit důkazy, které poslouží do technické dokumentace.

Výsledek pro vás

  • Bezpečnost zabudovaná do návrhu i vývoje
  • Bezpečné výchozí nastavení dle CRA
  • Doložitelné naplnění požadavků přílohy I
  • Méně zranitelností a oprav po vydání

Časté dotazy

Co znamená „bezpečné výchozí nastavení“?
CRA požaduje, aby byl produkt dodán bez známých zneužitelných zranitelností a s bezpečnou výchozí konfigurací – například bez výchozích hesel, s minimem otevřených služeb a možností uvést produkt do bezpečného stavu. Pomůžeme tyto požadavky převést do konkrétní konfigurace.
Musíme kvůli CRA měnit celý vývoj?
Většinou ne. Vyjdeme z toho, co už děláte, a doplníme jen chybějící bezpečnostní aktivity a důkazy. Cílem je funkční a udržitelný proces, ne byrokracie navíc.
Řešíte i open-source komponenty?
Ano. Součástí je due diligence komponent a SBOM – CRA klade důraz na bezpečnost i u převzatého a open-source kódu. Navazuje to na proces řízení zranitelností.

Související služby

Zpět na služby

CRA konzultace

Cílená konzultace s expertem na Cyber Resilience Act. Vyřešíme vaše konkrétní otázky, ověříme rozhodnutí a nasměrujeme další postup.

Více o službě

Příprava technické dokumentace

Sestavíme technickou dokumentaci podle přílohy VII CRA – od popisu produktu a analýzy rizik po SBOM, řízení zranitelností a prohlášení o shodě.

Více o službě

Proces řízení zranitelností

Nastavíme kompletní proces řízení zranitelností podle CRA – od evidence a hodnocení přes nápravu a bezpečnostní aktualizace po koordinované zveřejňování a reporting.

Více o službě

Začněte s CRA dřív, než vás dožene termín

Nezávazná konzultace vám během chvíle ukáže, kde stojíte a jaký je nejkratší cestou k souladu.

Domluvit konzultaci