JavaScript is currently disabled.Please enable it for a better experience of Jumi. Qualcomm: Cyber Resilience Act: Utmaningar och en öppen lösning
Guidelines for contributing Technical Papers: download PDF

Qualcomm: Cyber Resilience Act: Utmaningar och en öppen lösning

Att uppfylla kraven i EU:s CRA (Cyber Resilience Act) kommer snart att vara en av de stora tekniska och organisatoriska utmaningarna för alla som marknadsför inbyggda system i Europa. Förordningen trädde i kraft den 10 december 2024 och från den 11 december 2027 är många av de viktigaste kraven bindande.


Ladda ner artikeln här (länk, pdf).
Fler tekniska rapporter finns på etn.se/expert

Ett av de centrala kraven är att kunna uppdatera programvaran på din produkt även efter att du sålt den, varje gång det dyker upp ett nytt cyberhot. Specifikt måste du kunna reagera på CVE-meddelanden (Common Vulnerabilities and Exposures). OEM:er känner idag till vilka typer av hårdvara som måste finnas i system för att de ska kunna CRA-godkännas (HSM, Hardware Security Module, eller TPM, Trusted Platform Module) men det är fortfarande ganska nytt och ovant hur en process för att upprätthålla programvarusäkerhet ser ut, och hur man distri­buerar uppdateringar till produkter som redan är driftsatta.

Att ämnet i sig väcker stress är förståeligt – programuppdatering är komplext och svårhanterligt. På Foundries.io har vi under många år levererat teknik och support till inbyggnadsföretag inom området. Och vi menar att de krav som ställs i CRA inte är något som man behöver ligga vaken över.

Men under införandet av förordningen har vi märkt att även om det finns mycket i processen som kan automatiseras och effektiviseras, så saknar branschen fortfarande viktiga verktyg och hjälpmedel som skulle kunna göra CRA-efterlevnaden betydligt mindre betungande.

Hur CRA kräver att mjukvaru­uppdateringar hanteras
Syftet med CRA är att ”skydda konsumenter och företag som köper programvaru- eller hårdvaruprodukter som innehåller en digital komponent”. EU-lagen är en reaktion på bristande cybersäkerhet i mjukvara idag och avsaknaden av teknik för snabba säkerhetsuppdateringar (se bild 1). Lagen ställer nya krav på både tillverkare och återförsäljare, i synnerhet vad gäller att kunna upprätthålla säkerhet under hela livscykeln.

Tiden är förbi då tillverkaren kunde skeppa produkten och sedan glömma att den existerade. Skyldigheten att skydda mot cyberattacker fortsätter långt efter att produkten nått slutanvändare.

CRA kodifierar skyldigheten på flera sätt. Du måste:
●åtgärda sårbarheter som identifieras i CVE-meddelanden, även efter leverans
●för varje producerad enhet måste du upp­-rätthålla en SBOM (Software Bill of Materials) som kan användas för att identifiera vilka CVE-sårbarheter som är tillämpliga
●du måste åtgärda sårbarheter ”utan dröjsmål”
●regelbundet testa och granska produkt­säkerhet
●ha en policy för sårbarhetsrapportering
●skyndsamt och på ett cybersäkert sätt distribuera kostnadsfria uppdateringar

OEM-tillverkaren är skyldig att dokumentera programvaran i alla enheter som lämnar fabriken. Det görs i en så kallad SBOM (Software Bill of Materials) som måste hållas uppdaterad på alla förändringar av koden. Tillverkaren måste kunna veta om någon del av kodbasen är exponerad för en känd sårbarhet och måste snabbt kunna åtgärda och distribuera en gratis lagning till alla användare (se bild 2).

Värdet av en infrastruktur för programuppdateringar

Kodbasen i moderna uppkopplade produkter, särskilt de som bygger på Linux, är komplex. Den kan bestå av hundratals eller tusentals komponenter i en blandning av öppen källkod, kommersiell tredjepartskod och egen kod. Det är i praktiken omöjligt att manuellt hålla reda på all denna kod manuellt – dessutom för varje produktvariant. Det krävs en automatiserad SBOM-process såväl under utveckling som efter leverans.

Även hanteringen av säkerhetsfunktioner som autentisering, autentisering, kryptering och säker boot, är komplex. Produktens privata nycklar måste lagras säkert. God hantering av PKI (Public Key Infrastructure) är grundläggande i CRA.

OEM:er behöver dessutom ett system för fleet management – hantering av flottor av driftsatta enheter. Du behöver hålla reda på varje enhet med en unik identifierare, och du behöver kunna distribuera rätt uppdatering till rätt enhet vid rätt tillfälle, och på ett säkrat sätt, ända till den dag då enheten till slut tas ur drift. Detta stoppar en angripare från att kunna smuggla in en förfalskad enhet i flottan som ett sätt att komma åt känslig information eller proprietär kod.

Funktionerna kräver en systematisk hantering av loggning, lagring och datahantering, både när produkten utvecklas och tillverkas (development-fasen) och när den underhålls efter leverans (operations-fasen). Funktionerna är grundläggande i CRA och därför har OEM:er börjat införa formella ramverk för devops (development och operations). Just den typen av system är FoundriesFactory från Foundries.io ett typexempel på (se bild 3).

Ett devops-system bör omfatta följande verktyg och funktioner:
●PKI-hantering
●SBOM-generering och underhåll
●flott-administration, fleet management
●CI/CD – vid varje kodändring uppdateras och testas hela systemet automatiskt
●kod ska hanteras på ett cybersäkert sätt

Genom att använda sådana system genom hela produktlivscykeln förenklas processer som annars skulle varit komplexa, tidskrävande och felbenägna.

CRA:s sista kryssrutor
Alla utom de allra minsta OEM:erna behöver ha ett devops-ramverk för att kunna uppfylla CRA-kraven. Men det räcker inte. Andra viktiga verktyg krävs, och tyvärr finns de fortfarande inte som öppen källkod. Här är två verktyg som lyser med sin frånvaro:

1. Verktyg för CVE-analys. Dagens CVE-sökverktyg är ofta primitiva. Det beror på att de helt enkelt jämför namnet på ett programbibliotek i din programvara med namnet på ett bibliotek i en känd CVE-sårbarhet. Men att du använder ett bibliotek betyder inte att du använder den del av biblioteket som är sårbar. CVE-meddelandet gäller oftast en sårbarhet som finns i en viss del av koden – inte i hela paketet. Så resten av koden kan mycket väl vara säker.
Om din produkt enbart använder en viss del av ett programbibliotek – och inte den del som är sårbar – så finns ingen anledning att skicka ut en säkerhetsuppdatering. Men en enkelt konstruerad CVE-skannerfunktion kommer att flagga systemet som sårbart, bara för att biblioteket i sig nämns.

Det visar att det behövs mer avancerade verktyg, som kan gå in i källkoden och se om den innehåller exakt den sårbara kod som nämns i CVE:n. Det finns skäl att tro att framtida AI-modeller kommer att kunna användas som bas sådana verktyg.

2. Verktyg för att dokumentera de CRA-åtgärder du vidtar. Det andra som saknas som öppen källkod är revisionshantering. CRA föreskriver böter vid bristande efterlevnad i proportion till företagets storlek. OEM:er behöver kunna visa exakt vad de gjort – för varje enskild enhet – för att åtgärda sårbarheter. Din plattform bör alltså kunna logga vilka sårbarheter som flaggats, vilka patchar som rullats ut, och till vilka enheter.
Precis som SBOM-verktyget FoundriesFactory automatiskt skapar en lista över vilka mjukvarukomponenter som ingår i varje enhet, så måste ett bra verktyg för efterlevnadsrapportering hålla koll på vilka sårbarheter som rapporteras och vilka åtgärder som vidtagits, för varje enhet.

Förhoppningen är att verktyg av dessa slag kommer att utvecklas i form av öppen källkod och att den blir spridd och i praktiken en standard. Den dagen slipper alla OEM:er uppfinna hjulet på nytt. 

Därför har FoundriesFactory valt att använda The Update Framework (TUF) som bas. Standardisering kring öppen källkod skapar en positiv spiral. Därför valde FoundriesFactory TUF (The Update Framework) för leverans och installation av säkerhetsuppdateringar. Ytterligare andra element i FoundriesFactory har en bas i öppen källkod av samma skäl.

Uppdatering är en process, inte bara ett programpaket
Kravet på CRA-efterlevnad gör att OEM:er nu tvingas ta programuppdateringar på allvar och inse att det omfattar mer än uppdateringen i sig. Det krävs ett helt ekosystem av säkerhet, övervakning, cybersäkerhet, fleet management och devops som snabbt kan svara när det dyker upp nya sårbarheter. 

För många OEM:er är ett etablerat devops-ramverk rätt lösning – det är ett automatiserat sätt att hålla reda på enheter i fält och rulla ut rätt uppdatering till rätt enhet vid rätt tillfälle.

 

-15/11 # Swerim sajt, box

Prenumerera på Elektroniktidningens nyhetsbrev eller på vårt magasin.

Qualcomm: Cyber Resilience Act: Utmaningar och en öppen lösning
30 okt 2025 08:27 - George Grey, Qualcomm
Qualcomm: Cyber Resilience Act: Utmaningar och en öppen lösning

Att uppfylla kraven i EU:s CRA (Cyber Resilience Act) kommer snart att vara en av de stora tekniska och organisatoriska utmaningarna för alla som marknadsför inbyggda system i Europa. Förordningen trädde i kraft den 10 december 2024 och från den 11 december 2027 är många av de viktigaste kraven bindande.

Technical PapersLäs mer...
AI skapar prototyper
29 okt 2025 14:53 - Lennart Bonnevier
AI skapar prototyper

Stora språkmodeller och chattbottar har totalt förändrat förutsättningarna för programutveckling. Nu vill Lars Erik Holmqvist, professor i design och ­innovation vid Nottingham Trent-­universitetet i Storbritannien, undersöka om samma metoder också kan revolutionera hårdvaruutveckling.

IntervjuerLäs mer...
Globalfoundries bekräftar utbyggnaden i Dresden
29 okt 2025 11:28 - Per Henricsson
Globalfoundries bekräftar utbyggnaden i Dresden

I somras kunde den tyska tidningen Handelsblatt avslöja att det amerikanska foundryt Globalfoundries och den tyska staten var nära att enas om ett stöd på flera hundra miljoner euro för en utbyggnad av fabriken i Dresden. Igår besökte landets förbundskansler Friedrich Merz fabriken samtidigt som Globalfoundries släppte ett pressmeddelande som bekräftade planerna.

NyheterLäs mer...
Productronica firar 50 år
29 okt 2025 10:23 - Per Henricsson
Productronica firar 50 år

Den 18–21 november firar produktionsmässan Productronica i München sitt 50-årsjubileum. Årets upplaga har fokus på tre områden: avancerad kapsling, kraftelektronik och tillförlitlig elektronik.

NyheterLäs mer...
Nvidia investerar miljarder i Nokia
29 okt 2025 08:40 - Per Henricsson
Nvidia investerar miljarder i Nokia

AI-jätten Nvidia ska köpa nytryckta aktier i Nokia för en miljard dollar vilket ger 2,6 procent av rösterna. Affären presenteras som ett samarbete mellan bolagen med fokus på AI i radionätet plus fiberoptisk kommunikation i datacentren.

NyheterLäs mer...
En FPGA med kvantkryptoskydd
29 okt 2025 08:41 - Per Henricsson

MachXO5-NX TDQ är enligt amerikanska Lattice den första FPGA-familjen med skydd mot både dagens typ av attacker och framtida kvantdatorer, så kallad post-quantum cryptography, PQC. Kretsarna bygger på företagets Nexusplattform och passar för datacenter, kommunikation, industri och fordon.

ProduktLäs mer...
Tria: Generativ AI i inbyggda system kan röststyra robotar
28 okt 2025 09:07 - Jim Beneke, Tria
Tria: Generativ AI i inbyggda system kan röststyra robotar

Generativ AI gör det möjligt att använda chattbottar i kundtjänst och smarta högtalare i hemmet. Tekniken med taligenkänning är bara i sin linda men den är ändå på väg att ta steget in i robotiken, där den bidrar till att utveckla algoritmer som bättre styr rörelser och att initiera strategier för att utföra viktiga uppgifter.

Technical PapersLäs mer...
Ericsson skaffar lokaler i city
28 okt 2025 09:06 - Per Henricsson

Telekomjätten Ericsson har fått mycket uppmärksamhet för beslutet att dra ned på lokalerna i Kista men har samtidigt hyrt ett mindre kontor nära centralstationen. Det handlar om 600 till 800 kvadratmeter som Google lämnat, skriver Fastighetsvärlden.

NyheterLäs mer...
Nordic Chip Collaboration: En timme om kapital
28 okt 2025 07:47 - Per Henricsson
Nordic Chip Collaboration: En timme om kapital

Den 13 november bjuder Business Sweden tillsammans med sina kollegor i Finland och Norge in till ett webbinarium om finansiering av halvledarbolag.

NyheterLäs mer...
Qualcomm ger sig in i AI-molnet
28 okt 2025 07:41 - Jan Tångring
Qualcomm ger sig in i AI-molnet

Elva procent steg den amerikanska mobilprocessorjätten Qualcomm på börsen efter att ha annonserat att det blåser nytt liv i sin AI-acceleratorfamilj för att serva den omättliga AI-industrin med beräkningskraft.

NyheterLäs mer...
Han har påtat med sitt kontrollprotokoll i 25 år
28 okt 2025 07:17 - Jan Tångring
Han har påtat med sitt kontrollprotokoll i 25 år

Automationsprotokollet VSCP har just fyllt 25 år. Det meddelar huvud­utvecklaren Åke Hedman, 68 år. Hobbyn äter det mesta av hans fritid.

IntervjuerLäs mer...
Europeisk AI-krets släpps 2026
27 okt 2025 15:56 - Jan Tångring
Europeisk AI-krets släpps 2026

Nederländska Axelera lanserar en AI-krets för nästa generations AI – den som inte bor i molnet utan bland oss.  Tillämpningsområdena ska ligga mellan edge och företagsservrar, och robotar.

ProduktLäs mer...
Ericsson och Nokia samarbetar om videokodning för 6G
27 okt 2025 15:15 - Per Henricsson
Ericsson och Nokia samarbetar om videokodning för 6G

Telekomjättarna Ericsson och Nokia utvecklar tillsammans med Fraunhofer Heinrich Hertz Institute (HHI) i Berlin nästa generations standard för videokodning. Det kan bli en nyckelteknik för videoupplevelser över 6G.

NyheterLäs mer...
FET-transistorn fyller hundra
27 okt 2025 09:45 - Per Henricsson
FET-transistorn fyller hundra

I år är det hundra år sedan fälteffekttransistorn först dokumenterades. Det skedde genom en patentansökan den 22 oktober 1925 av Julius Lilienfeld.

NyheterLäs mer...
Eclipse: Ta makten över AI med öppna verktyg
27 okt 2025 08:16 - Mike Milinkovich, Eclipse
Eclipse: Ta makten över AI med öppna verktyg

När vi pratar med företag som börjat använda AI för utveckling finns ett tydligt mönster. Å ena sidan finns en stor entusiasm över alla nya möjligheter – som man hoppas ska komma till nytta tämligen omgående. Å andra sidan får vi samtidigt höra om farhågor över allt som kan tänkas bromsa deras AI-utveckling.

Technical PapersLäs mer...
Upprop: Öppen infrastruktur inte gratis
27 okt 2025 07:20 - Jan Tångring
Upprop: Öppen infrastruktur inte gratis

Kommersiella mjukvaruföretag är allt större användare av fria tjänster skapade för öppen källkod. Det är inte hållbart. Det säger ett upprop från några av de som driver tjänsterna.

TeknikLäs mer...
Ericssons kontor blir bostäder
24 okt 2025 15:42 - Per Henricsson
Ericssons kontor blir bostäder

När Ericsson lämnar delar av sina lokaler i Kista vid årsskiftet är huvudspåret för fastighetsbolaget Corem, som äger husen, att bygga om dem till bostäder. Det skriver nyhetsbyrån Direkt.

NyheterLäs mer...
En förstärkare för audiofiler
24 okt 2025 14:25 - Per Henricsson
En förstärkare för audiofiler

MUSES8921 är en dubbel JFET-baserad operationsförstärkare för krävande ljudapplikationer i allt från hemelektronik och studioutrustning till bärbara enheter och bilstereo. Kretsen bygger på japanska Nisshinbo Micro Devices femtiåriga erfarenhet av förstärkardesign.

ProduktLäs mer...
Silex blev Årets fotonikföretag
24 okt 2025 10:34 - Per Henricsson
Silex blev Årets fotonikföretag

Silex Microsystems grundades för 25 år sedan och har utvecklats till ett världsledande foundry för mikromekanik. Tekniken är tätt knuten till fotonikindustrin, och resulterar i mindre, snabbare och effektivare system.

NyheterLäs mer...
Curl-pappan: AI-slask kväver öppen källkod
24 okt 2025 15:45 - Jan Tångring
Curl-pappan: AI-slask kväver öppen källkod

Flera öppenkodsprojekt dränks av AI-genererade felaktiga buggrapporter. Daniel Stenberg berättar hur de drabbar hans projekt Curl.

TeknikLäs mer...
MER LÄSNING:
 
KOMMENTARER
Kommentarer via Disqus
Bidrag från
branschens experter
Nya produkter
Senaste nyheter

Rainer Raitasuo

Rainer
Raitasuo
+46(0)734-171099 rainer@etn.se
(sälj och marknads­föring)
Per Henricsson

Per
Henricsson
+46(0)734-171303 per@etn.se
(redaktion)

Jan Tångring

Jan
Tångring
+46(0)734-171309 jan@etn.se
(redaktion)