📺 B站 嵌入式孙老师:博主个人介绍
📘 博主书籍-京东购买链接*:Yocto项目实战教程
📘 加博主微信,进技术交流群: jerrydev
出海硬件厂商注意:欧盟 CRA 已生效,你的嵌入式设备 2026 年 9 月就要"持证上岗"
做嵌入式、IoT、边缘设备的同行,如果你的产品卖到欧洲,这篇你得看完——因为有个死线,很多人还没意识到。
一个被低估的死线
很多人以为欧盟《网络弹性法案》(Cyber Resilience Act, CRA) 是 2027 年的事,慢慢准备就行。这个认知很危险。
CRA 已经在 2024 年 12 月 10 日正式生效,主要义务 2027 年 12 月 11 日全面适用——但漏洞和安全事件的强制上报义务,从 2026 年 9 月 11 日就开始执行了。从那天起,已知被利用的漏洞要在 24 小时内预警、72 小时内完整通报。换句话说,留给你的不是两年,是几个月。
更关键的一点:这不是只管欧洲公司的法案。只要你的产品进入欧盟市场,中国厂商一样在监管范围内。而且范围极广,几乎所有"带数字元素的产品"——硬件、嵌入式系统、IoT 设备全部覆盖。不合规的代价也不轻,最高可罚 1500 万欧元或全球年营收的 2.5%,取高者。
把法条翻译成工程师的活儿
法律条文看着头大,但落到我们手里,其实就是一串熟悉的技术任务。CRA 的核心是 secure-by-design,拆开来就是下面这几件事:
- 安全启动(Secure Boot):建立信任根,确保设备只跑经过签名的固件,防止刷入恶意镜像。
- 安全 OTA 升级:升级包要签名校验、支持回滚,保证产品在整个生命周期内能持续打补丁——这是 CRA 反复强调的"全生命周期安全更新"。
- 密钥与凭据管理:杜绝硬编码密钥、出厂默认密码,敏感数据加密存储。
- 软件物料清单(SBOM):你必须说得清自己产品里用了哪些组件、哪些版本。这是后面所有漏洞响应的前提——连用了哪些库都不知道,就根本无法判断某个 CVE 是否影响你的产品,也就无法在 24 小时内上报。
- 漏洞监控与响应流程:持续跟踪 CVE,建立从发现到修复到上报的闭环。
- 最小攻击面:关闭调试口、裁剪不必要的服务和组件。
看出来了吗?这些恰恰是嵌入式底层(BSP、Bootloader、OTA、系统裁剪)的本职工作。CRA 没有发明新技术,它只是把"做不做随你"变成了"必须做,还有死线"。
现在能做的三件事
- 盘清家底:先给在售产品建 SBOM,搞清楚每个设备里跑的是什么。
- 补齐安全启动链和签名 OTA:这两块是评估时最硬的指标,也最花时间,越早开工越好。
- 建漏洞响应机制:哪怕先是个手动流程,也比 9 月之后被动挨罚强。
开发周期动辄一年以上,2027 真的没有看上去那么远。今天动手,才来得及。
我自己长期在边缘 AI 设备上做 BSP、设备安全和 OTA 体系,踩过的坑不少。这篇先讲到这——如果你正在做出海设备、被 CRA 这块卡住,评论区或私信说说你卡在哪一步(是 SBOM、安全启动,还是 OTA?),点赞多的痛点我下一篇专门拆开讲。
—— 嵌入式孙老师
扫一扫
281
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
