当工具边界成为 CRA 下的运营风险

CRA 正在压力测试系统之间的边界

大多数 IoT OEM 已经在产品生命周期中部署了成熟的工具体系：

• CI/CD 系统
• 生产制造系统
• PKI 与 KMS
• SBOM 与漏洞管理平台
• OTA 部署系统
  

每一类工具都已经非常成熟，市场上也有大量成熟方案。 CRA 下的问题，很少是“缺少某个工具”。真正的问题在于：CRA 所要求的答案，往往分散在多个由不同团队维护的系统中。

当某个漏洞在周六早晨曝光，而 CRA 第 14 条的 24 小时上报时钟已经开始计时时，问题通常不是：

“我们没有这些数据。”

而是：

“数据都存在，但它们分散在三个系统里，而且没有人能快速把答案拼出来。”

大多数 IoT OEM 实际上已经在运营的五个平台

一个 IoT 产品从开发到部署，通常会跨越五类运营平台。

每个平台都能够很好地完成自己的工作。CRA 改变的是：组织现在必须回答跨越所有这些平台的问题。

CRA 强迫 OEM 回答的四类跨系统问题

同一份数据，从不同入口开始追查，会形成完全不同的运营问题。本文聚焦四个典型视角：

• 从产品向外看
• 从密钥向外看
• 从漏洞向外看
• 从设备向内看

而这四类问题，没有任何单一平台能够独立回答。

每条产品线都会依赖多类密码资产：

• 固件签名密钥
• 设备身份认证证书
• OTA 加密密钥
• 安全调试认证凭证
  

真正的运营问题是：

组织是否能够从单一视图中看到某个产品完整的密码资产清单？

在现实中，答案通常是否定的。固件签名密钥可能位于发布系统中。设备证书由 PKI 管理。OTA 加密密钥可能位于另一个 KMS。调试认证权限可能由制造或质量团队控制。

结果就是：

• 没有统一资产清单
• 责任归属不清晰
• 生命周期管理分散
• 即将过期的证书无法被相关团队及时发现
  

CRA 为什么会放大这个问题

CRA 第 13(8) 条要求产品至少维持五年的支持周期。这意味着：

签名体系、证书链以及运营责任，需要在以下变化中持续有效：

• 团队变更
• 供应商替换
• HSM 迁移
• 合同到期
• 平台升级
  

如果组织无法从统一视图中回答：

“未来 12 个月有哪些证书即将过期？”

那么这个支持义务本身就已经存在未被管理的运营风险。

资产清单只是问题的一部分。真正更难的是“控制权”。许多 OEM 至今仍然运行着这样的流程：

• 人工生成密钥
• 在多个环境之间复制凭证
• 工厂持有安全注入权限
• 外部服务商持有签名权限
• 没有任何团队拥有完整端到端可见性
  

真正的问题变成：

谁能够访问这把密钥？这些权限存在于哪里？它们是否可以被撤销与审计？

而答案通常横跨多个组织与系统。

常见场景

• 固件签名 - CI/CD 系统调用存储在 HSM 中的签名密钥，而 HSM 基础设施可能由另一团队管理。
  
• 生产制造 - 工厂持有与 OEM 根 CA 相关联的安全注入权限。
  
• OTA 运营 - OTA 服务商可能通过外部 IAM 系统持有签名或证书轮换权限。
  
• 安全调试 - 返修与故障分析流程需要受控的调试授权机制。
  

在每一种情况下，密钥本身，或者对它的访问权限，都已经跨越了组织边界。

CRA 为什么会放大这个问题

CRA 第 13(1) 条要求制造商确保产品按照核心网络安全要求进行设计、开发与生产。如果密钥治理是碎片化的：

• 密钥滥用难以及时发现
• 事故影响范围难以判断
• 被影响的生产批次难以追踪
• 审计能力会明显下降
  

问题往往不是某一个工具不够安全。而是组织无法跨越工具边界获得完整可见性。

这里正是 CRA 时间要求开始变得真正困难的地方。一个漏洞最初只是：

• 一个 CVE 编号
• 一个组件版本
• 一个严重性等级
  

但 CRA 要求 OEM 能够快速确定：

• 哪些固件版本包含该组件
• 哪些生产批次使用了这些固件
• 哪些设备受到影响
• 哪些欧盟市场部署了这些设备
  

这个问题通常需要跨越：

• SBOM 系统
• 构建系统
• 生产系统
• 市场分发记录
  

真正的运营问题

大多数组织并不会在一个系统中维护这些关联关系。SBOM 平台知道组件组成，但不知道哪些设备已经部署。生产系统知道哪些设备属于哪个批次，但不知道软件组件构成。市场分发系统知道哪些 SKU 发往哪些国家，但不知道固件内容。因此，组织必须在时间压力下跨系统进行数据关联。而在很多 OEM 中，固件与 SBOM 的映射关系至今仍然依赖人工维护。

修复闭环通常更难

CRA 的责任并不会因为提交了 24 小时预警而结束。真正完成责任的是“修复”。这意味着组织必须跟踪整个链路：

1. 漏洞发现
2. 修复开发
3. 固件签名与打包
4. OTA 部署
5. 部署确认
6. 修复记录回写
   

每一步都会跨越平台边界。漏洞平台不控制构建系统。构建系统不控制 OTA。OTA 平台也不会自动关闭漏洞处理流程。每一次交接，都依赖系统集成、流程协调或人工操作。

CRA 为什么会放大这个问题

CRA 第 14 条定义了三个阶段：

• 24 小时预警
• 72 小时正式通知
• 14 天最终修复报告
  

每一个阶段都依赖不同的跨系统数据整合。而附录 VII 又进一步要求，这些信息必须能够在十年内被监管机构重新调取。

前面的三个视角都从抽象对象开始：

• 产品
• 密钥
• 漏洞
  

而这个视角从一台真实设备开始。真正的问题是：

组织是否能够从单一入口中获取这台设备的完整生命周期记录？

这些记录可能包括：

• 固件版本
• 安全注入记录
• 证书信息
• 证书轮换历史
• OTA 更新历史
• 漏洞修复状态
  

现实中，每个平台通常只保存其中一部分数据。

在正常运营中，人工拼接这些信息虽然麻烦，但仍然可以接受。但在 CRA 第 14 条的时间压力下，这会直接变成运营瓶颈。

两种常见场景

场景一：客户支持

某台设备无法连接，支持团队需要跨多个系统查询：

• 固件状态
• 证书有效性
• OTA 更新历史
  

场景二：市场监管

监管机构要求调取数年前出货设备的完整合规记录。这两种场景本质上都需要：

跨平台重建设备历史。

而许多组织至今仍然缺乏统一记录入口。

CRA 为什么会放大这个问题

附录 VII 要求相关文档能够被保存并在十年内随时调取。在这十年里：

• 团队会变化
• 系统会迁移
• 供应商会更换
• 工具会被替换
  

平台本身可能已经不存在。但文档义务仍然存在。

管理这些“边界”

上面的四个视角，并不是在支持或反对某一种工具策略。分散式工具同样可以成功运行。真正的问题在于：这些系统之间的边界，是否被有意识地设计与治理。这通常意味着：

• 明确定义的数据交换格式
• 跨系统问题的责任归属
• 标准化的数据校验流程
• 长期审计级记录保存
• 覆盖所有平台的可追溯能力
  

有些 OEM 可以通过多个独立系统成功实现这些能力，尤其是在以下情况下：

• 产品数量有限
• 市场规模较小
• 运营复杂度可控
  

但随着以下因素增长：

• 产品数量
• 市场数量
• 供应商数量
• OTA 更新频率
• 漏洞事件数量
• 合规上报次数
  

运营成本会迅速扩大。一个只向两个市场销售两款产品的 OEM，通常还可以依赖人工协调。一个 OEM 同时管理：

• 二十条产品线
• 多个工厂
• 多家供应商
• 多个 OTA 平台
• 多个欧盟市场
  

仅依赖人工方式将越来越难长期维持：

• 五年的支持义务
• 十年的文档保留要求

CRA 很少失败在单一组件上

《第三方组件，第一方责任》讨论的是外部供应链关系带来的风险。而本文讨论的是 OEM 内部工具体系之间的边界问题。两者最终揭示的是同一种模式：CRA 很少因为某一个组件而失败。

它通常失败在组件之间的边界上。真正能够通过 CRA 压力测试的 OEM，未必是拥有最多工具的 OEM。而是那些真正围绕“边界”进行过架构设计的 OEM。