CRA-Konformität

Bug Bounty oder CVD? Was der CRA verlangt und wie man beides betreibt

Bug-Bounty-Programme bezahlen Forscher für valide Schwachstellenmeldungen. Sie ziehen deutlich mehr Forscheraufmerksamkeit an als ein unbezahlter Kanal, und mit ihr deutlich mehr Meldevolumen. Unter dem Cyber Resilience Act sind sie optional. Was Anhang I Teil II verlangt, ist eine Richtlinie zur koordinierten Offenlegung von Schwachstellen und ein funktionierender Meldekanal.

Eine Pipeline, zwei Programme

Unser neuer Leitfaden erklärt die sinnvolle Reihenfolge. Zuerst ein funktionierender CVD-Prozess, danach ein Bounty auf einer spezialisierten Plattform, wobei jede Meldung im selben Compliance-Workflow landet, sodass Advisories, Forscher-Danksagungen und Artikel-14-Bewertungen an einem Ort stattfinden. CRA Portal wickelt selbst keine Auszahlungen ab, es ist die Offenlegungs- und Compliance-Ebene darunter.

KI-Triage für Bounty-Volumen

Der Leitfaden behandelt auch die KI-Triage im Enterprise-Tarif. Eingehende Meldungen erhalten Vorschläge für Schweregrad, CVSS-Bewertung, Artikel-14-Risikoeinschätzung und Duplikatserkennung gegen offene Meldungen, die EU-Schwachstellendatenbank und CVE-Einträge. Die KI schlägt nur vor, Ihr Team entscheidet.

Lesen Sie den vollständigen Leitfaden zum Betrieb eines Bountys neben Ihrem CVD-Prozess.

Weiterlesen