Prepárate para la CRA antes de septiembre de 2026
La CRA hace que los fabricantes sean responsables de la ciberseguridad de sus productos, independientemente de cómo se haya creado el código. SonarQube ofrece a los equipos una capa de verificación automatizada para identificar vulnerabilidades de forma temprana, aplicar las normas de seguridad y lanzar los productos al mercado con confianza.
Alcance global
Se aplica a los fabricantes de productos incluidos en su ámbito de aplicación que contengan elementos digitales y se comercialicen en el mercado de la UE, incluidos los fabricantes con sede fuera de la UE.
Amplio ámbito de aplicación
Abarca numerosos productos de software y hardware con elementos digitales, incluidos productos de software B2B, electrónica de consumo, dispositivos conectados y componentes.
Sanciones severas
El incumplimiento puede acarrear multas de hasta 15 millones de euros o el 2,5 % de la facturación anual global, lo que sea mayor.
El código generado por IA es tu responsabilidad
La CRA no distingue entre el código escrito por humanos y el generado por IA; eres responsable de todo él.
Diciembre de 2024
El CRA entra en vigor
11 de septiembre de 2026
Las obligaciones de notificación de vulnerabilidades explotadas activamente e incidentes graves pasan a ser obligatorias
11 de diciembre de 2027
La CRA pasa a ser de aplicación general para los productos incluidos en su ámbito de aplicación que contengan elementos digitales y estén disponibles en el mercado de la UE
Coming later in 2026Informe específico de cumplimiento de la CRA
Un informe diseñado específicamente que compara toda su base de código con los requisitos específicos del Anexo I de la CRA, lo que proporciona a los equipos de seguridad y cumplimiento una visibilidad instantánea de su estado de cumplimiento y pruebas compartibles para los organismos reguladores.
SAST avanzado
Análisis estático profundo y multiprocedimental en más de 30 lenguajes que detecta vulnerabilidades de seguridad, incluyendo el Top 10 de OWASP, el Top 25 de CWE y conjuntos de reglas personalizadas alineadas con su perfil de riesgo.
Análisis de la composición del software (SCA)
Escaneo continuo de todas las dependencias de código abierto frente a las bases de datos NVD, EPSS, KEV y OSV.
Generación automatizada de SBOM
Genera listas de materiales de software (SBOM) legibles por máquina con un solo clic, proporcionando el inventario de dependencias trazable que la CRA exige explícitamente para cada producto.
Detección de secretos
Detección líder en el sector de más de 450 tipos de secretos con una tasa de falsos positivos inferior al 1 %. Impide que las credenciales codificadas de forma fija lleguen a los repositorios o a los agentes de programación con IA antes de que se conviertan en un riesgo de violación de seguridad.
Controles de calidad y perfiles
Aplica tus reglas exactas de cumplimiento y calidad de forma coherente a todos los desarrolladores y a todas las herramientas de programación con IA. Bloquea automáticamente la fusión de código no conforme, con generación de un registro de auditoría completo.
Informes de cumplimiento integrados
Informes listos para usar para OWASP Top 10, OWASP ASVS, PCI DSS, CWE Top 25, STIG, MISRA C++:2023 y, ahora, la Ley de Resiliencia Cibernética (CRA); todos ellos disponibles dentro de su flujo de trabajo actual.
Gobernanza del riesgo de dependencias
Vaya más allá de la detección con revisión, asignación, seguimiento del estado, orientación para la corrección, aplicación de políticas de licencias y alertas de paquetes maliciosos para las dependencias de terceros.
1. Minimiza las vulnerabilidades mediante SAST
Identifica los puntos débiles explotables en una fase temprana del desarrollo, cumpliendo así con el mandato del artículo 13 de minimizar las vulnerabilidades antes de que los productos lleguen al mercado.
2. Proteja el acceso al sistema
Analice todo el código fuente para detectar y bloquear claves API, contraseñas y tokens confidenciales codificados de forma fija, cumpliendo así el requisito del Anexo I sobre acceso no autorizado.
3. Evalúe continuamente el riesgo del código abierto
Supervise continuamente todas las dependencias de terceros en busca de CVE conocidos, respaldando las obligaciones de la CRA en materia de transparencia y gestión de riesgos a lo largo del ciclo de vida.
4. Verificar la ausencia de exploits conocidos
Utilizar las bases de datos NVD, EPSS, KEV y OSV para verificar que los componentes estén libres de riesgos conocidos, cumpliendo así directamente con el mandato del Anexo I de comercializar productos sin vulnerabilidades explotables conocidas.
5. Dominar la transparencia de la cadena de suministro
Generar automáticamente SBOM legibles por máquina para garantizar un proceso de gestión de inventario trazable, cumpliendo así con los mandatos explícitos de la CRA en materia de cadena de suministro.
6. Generar registros de auditoría y pruebas
Mantener registros de auditoría seguros que recojan los cambios a lo largo del ciclo de vida, las actualizaciones de configuración y los incidentes de seguridad, lo que simplifica la documentación de la evaluación de riesgos de la CRA.
7. Aplicar las normas en el momento de la creación
Dotar a los desarrolladores de información de retroalimentación en el IDE y de controles de calidad configurables para garantizar que ningún código no conforme llegue nunca a producción.
8. Evalúa el riesgo con una gobernanza estratégica
Aprovecha los paneles de control de la cartera para obtener una visión general del estado de cumplimiento de la organización, transformando la deuda de código invisible en datos visibles para los responsables de seguridad y riesgos.
The Cyber Resilience Act: Why AI velocity demands automated verification
The conversation has moved from adoption to accountability. AI is no longer a future goal—it is the new baseline for software development.
Read more >
Cyber Resilience Act: Navigating speed and security with AI-coding
The EU Cyber Resilience Act (CRA) creates strict regulatory obligations for software manufacturers—including requirements for secure-by-design development, vulnerability handling, 24-hour incident reporting, and SBOM generation.
Read more >
Elabora hoy mismo tu caso de cumplimiento de la CRA
SonarQube proporciona a los equipos de cumplimiento y seguridad la infraestructura automatizada necesaria para demostrar su preparación, sin ralentizar el desarrollo.