3rd Party 구성 요소 관리
CRA는 제품에 통합된 3rd party 구성 요소에 대해 명확한 요구사항을 제시합니다. CRA는 보안 취약점 관리에 대한 책임 범위를 제품 전체로 확대하고 있으며, 이는 곧 귀사가 사용하는 3rd party 구성 요소에 대해서도 동일한 수준의 책임을 져야 한다는 것을 의미합니다.
Qt는 무료 및 오픈소스 소프트웨어를 포함한 모든 3rd party 구성 요소에 대해 충실한 검토 및 관리 절차를 수행하고 있습니다.
EU CRA 근거 조항
전문 34
디지털 요소가 포함된 제품(PDE)에 3rd party 구성 요소를 포함하는 제조자는 사이버 보안을 준수하기 위해 적절한 수준의 검증 절차(Due diligence)를 수행해야 합니다. 여기에는 규정 적합성 검증, 정기적인 보안 업데이트, 취약점 존재 여부 확인이 포함됩니다. 만약 취약점이 발견될 경우, 제조업체는 이를 반드시 해결해야 하며 해당 구성 요소의 책임 주체에게도 이를 통보해야 합니다. 이때 검증 절차(Due diligence)의 수준은 구성 요소가 갖는 사이버보안 위험도에 따라 달라질 수 있습니다.
3rd Party 소프트웨어 평가 시 고려 사항
소프트웨어 자재 명세서(SBOM) 제공 여부
CRA Steward 역할 및 제조사 역할 수행 가능 여부
보안 업데이트 프로세스 및 관련 운영 방식
공개된 CVE 현황
모듈 라이센스 유형
통합 수준 (인라인 코드인지, 별도 코드인지, 혹은 그 중간 형태인지)
혹은 통합 방식을 변경하실 건가요?
3rd Party 관련 다른 게시글 보기
* 이 페이지 및 웹사이트에 포함된 정보는 정보 제공 및 주제 논의 목적으로만 제공되며, 법률 자문으로 간주될 수 없습니다. 이 페이지의 콘텐츠는 변경될 수 있으며, Qt Group은 이 페이지에 포함된 내용의 정확성 또는 최신성을 보증하지 않습니다. 또한 이 페이지와 연결된 외부 웹사이트의 내용이나 운영에 대해 책임을 지지 않습니다. 이 페이지에 포함된 정보는 법률 자문의 대체물로 사용되어서는 안 됩니다.