Seien Sie bis September 2026 CRA-bereit
Der CRA macht Hersteller für die Cybersicherheit ihrer Produkte verantwortlich, unabhängig davon, wie der Code erstellt wurde. SonarQube bietet Teams eine automatisierte Überprüfungsschicht, um Schwachstellen frühzeitig zu erkennen, Sicherheitsstandards durchzusetzen und Produkte mit Zuversicht auf den Markt zu bringen.
Globale Reichweite
Gilt für Hersteller von betroffenen Produkten mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden, einschließlich Herstellern mit Sitz außerhalb der EU.
Breiter Geltungsbereich
Umfasst zahlreiche Software- und Hardwareprodukte mit digitalen Elementen, darunter B2B-Softwareprodukte, Unterhaltungselektronik, vernetzte Geräte und Komponenten.
Strenge Strafen
Verstöße können zu Geldbußen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist.
KI-Code ist Ihre Verantwortung
Der CRA macht keinen Unterschied zwischen von Menschen geschriebenem und von KI generiertem Code; Sie sind für alles verantwortlich.
Dezember 2024
Die CRA tritt in Kraft
11. September 2026
Meldepflichten für aktiv ausgenutzte Sicherheitslücken und schwerwiegende Vorfälle werden verbindlich
11. Dezember 2027
Die CRA gilt allgemein für betroffene Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden
Coming later in 2026Spezieller CRA-Compliance-Bericht
Ein speziell entwickelter Bericht, der Ihre gesamte Codebasis anhand der spezifischen Anforderungen von Anhang I der CRA abgleicht und Sicherheits- sowie Compliance-Teams sofortigen Einblick in ihren Compliance-Status sowie für Aufsichtsbehörden geeignete Nachweise liefert.
Erweiterte SAST
Eine tiefgehende, prozedurübergreifende statische Analyse in über 30 Sprachen erkennt Sicherheitslücken, darunter die OWASP Top 10, die CWE Top 25 sowie benutzerdefinierte Regelsätze, die auf Ihr Risikoprofil abgestimmt sind.
Software-Kompositionsanalyse (SCA)
Kontinuierliches Scannen aller Open-Source-Abhängigkeiten anhand von NVD-, EPSS-, KEV- und OSV-Datenbanken.
Automatisierte SBOM-Generierung
Erstellen Sie maschinenlesbare Software-Stücklisten (SBOMs) mit einem einzigen Klick und erhalten Sie so das rückverfolgbare Abhängigkeitsverzeichnis, das die CRA ausdrücklich für jedes Produkt vorschreibt.
Erkennung vertraulicher Daten
Branchenführende Erkennung von über 450 Arten vertraulicher Daten mit einer Falsch-Positiv-Rate von unter 1 %. Verhindert, dass fest codierte Anmeldedaten in Repositorys oder KI-Codierungsagenten gelangen, bevor sie zu einem Sicherheitsrisiko werden.
Qualitätskontrollen und -profile
Setzen Sie Ihre genauen Compliance- und Qualitätsregeln konsistent für jeden Entwickler und jedes KI-Codierungstool durch. Blockieren Sie automatisch die Zusammenführung von nicht konformem Code – mit vollständiger Erstellung eines Prüfpfads.
Integrierte Compliance-Berichte
Sofort einsatzbereite Berichte für OWASP Top 10, OWASP ASVS, PCI DSS, CWE Top 25, STIG, MISRA C++:2023 und nun auch den Cyber Resilience Act – alles innerhalb Ihres bestehenden Workflows verfügbar.
Risikomanagement für Abhängigkeiten
Gehen Sie über die reine Erkennung hinaus – mit Überprüfung, Zuweisung, Statusverfolgung, Anleitungen zur Behebung, Durchsetzung von Lizenzrichtlinien und Warnmeldungen zu bösartigen Paketen bei Abhängigkeiten von Drittanbietern.
1. Schwachstellen durch SAST minimieren
Identifizieren Sie ausnutzbare Schwachstellen bereits früh in der Entwicklung und erfüllen Sie damit die Vorgabe gemäß Artikel 13, Schwachstellen zu minimieren, bevor Produkte auf den Markt kommen.
2. Systemzugriff sichern
Scannen Sie die gesamte Codebasis, um fest codierte API-Schlüssel, Passwörter und sensible Tokens zu erkennen und zu blockieren, und erfüllen Sie damit die Anforderung des Anhangs I bezüglich unbefugten Zugriffs.
3. Open-Source-Risiken kontinuierlich bewerten
Überwachen Sie alle Abhängigkeiten von Drittanbietern kontinuierlich auf bekannte CVEs und unterstützen Sie damit die CRA-Verpflichtungen hinsichtlich Transparenz und Risikomanagement über den gesamten Lebenszyklus.
4. Überprüfen Sie, dass keine bekannten Exploits vorhanden sind
Nutzen Sie NVD-, EPSS-, KEV- und OSV-Datenbanken, um zu überprüfen, ob Komponenten frei von bekannten Risiken sind – und erfüllen Sie damit direkt die Vorgabe aus Anhang I, Produkte ohne bekannte ausnutzbare Schwachstellen auszuliefern.
5. Sorgen Sie für Transparenz in der Lieferkette
Generieren Sie automatisch maschinenlesbare SBOMs, um einen rückverfolgbaren Bestandsverwaltungsprozess zu gewährleisten und damit die expliziten CRA-Vorgaben zur Lieferkette zu erfüllen.
6. Erstellen Sie Prüfpfade und Nachweise
Führen Sie sichere Prüfprotokolle, die Änderungen im Lebenszyklus, Konfigurationsaktualisierungen und Sicherheitsereignisse erfassen – dies vereinfacht die Dokumentation der CRA-Risikobewertung.
7. Setzen Sie Standards bereits bei der Erstellung durch
Unterstützen Sie Entwickler mit IDE-Feedback und konfigurierbaren Qualitätskontrollen, um sicherzustellen, dass kein nicht konformer Code jemals in die Produktion gelangt.
8. Risiken mit strategischer Governance bewerten
Nutzen Sie Portfolio-Dashboards für einen Überblick über den Compliance-Status des Unternehmens und wandeln Sie unsichtbare Code-Schulden in sichtbare Daten für Sicherheits- und Risikoverantwortliche um.
The Cyber Resilience Act: Why AI velocity demands automated verification
The conversation has moved from adoption to accountability. AI is no longer a future goal—it is the new baseline for software development.
Read more >
Cyber Resilience Act: Navigating speed and security with AI-coding
The EU Cyber Resilience Act (CRA) creates strict regulatory obligations for software manufacturers—including requirements for secure-by-design development, vulnerability handling, 24-hour incident reporting, and SBOM generation.
Read more >
Erstellen Sie noch heute Ihren CRA-Compliance-Nachweis
SonarQube bietet Compliance- und Sicherheitsteams die automatisierte Infrastruktur, um ihre Bereitschaft nachzuweisen – ohne die Entwicklung zu verlangsamen.