开发者CRA合规工具
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
Krava 是一个面向开发者的欧盟 Cyber Resilience Act(CRA)合规工作流工具。它并不强调自己是新的漏洞扫描器,而是定位为“扫描工具与监管机构之间的层”:扫描器负责发现依赖、漏洞和许可证问题,Krava 负责把这些结果转化为 CRA 所要求的报告时限、披露流程、合规状态和技术文档管理。
页面明确提到 CRA 对在欧盟销售的软件产品提出要求,包括 24 小时漏洞报告、每个版本的 SBOM、漏洞披露机制、合规评估、10 年技术文档留存以及支持期内安全更新。Krava 计划通过 GitHub Action 与合规仪表盘接入开发流程,并以 krava-bot 的 Pull Request 评论形式给出合规评分,例如 SBOM 缺少许可证信息、高危 CVE、未知许可证、缺少 security.txt、未声明支持期等。
与 Trivy、Grype、Syft、Snyk、FOSSA 等工具相比,Krava 的差异点在于不只生成 JSON 或扫描报告,而是管理 CRA 合规工作流,包括 ENISA/CSIRT 报告时间线、漏洞披露管理和监管文档生成。正文称其可接收“whichever tool you use”的扫描结果,但没有列出已支持的具体格式、语言、包管理器或 CI/CD 平台清单。
目前网站只提供 early access,未披露定价模式、免费额度、企业版、支付方式或服务等级。也未说明是否开源、是否支持自托管、是否提供 API/SDK。产品仍在构建 GitHub Action 和 dashboard,因此更适合提前评估和登记试用,而不是立即作为生产级合规系统采购。
优点是定位非常明确,抓住 CRA 落地中的非扫描环节:报告时限、披露流程、合规文档和持续状态追踪;同时选择 GitHub PR 场景,比较贴近开发者日常工作流。缺点是公开资料仍少,缺少实际产品截图、文档、集成列表、安全说明和价格。
它适合向欧盟销售移动应用、桌面软件、SDK、库、固件、IoT 产品的团队,尤其是已经使用 SBOM/漏洞扫描工具,但缺少合规流程管理的人群。纯 SaaS 根据页面说明不属于 CRA 范围,而归入 NIS2,因此未必是主要目标用户。
页面未提供中国大陆访问、付款和本地化信息,china_access 只能标记为未知。若网络或采购受限,可继续使用 Trivy、Grype、Syft 等开源扫描工具,并结合内部流程自行管理 CRA 文档与报告。
本测评基于公开资料整理,不构成购买建议,请以 krava.dev 官网实际信息为准。
面向欧盟网络韧性法案,适合出海软件合规。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。