Skip to main content

サードパーティコンポーネントの管理

CRAの要件のひとつに、製品に組み込まれたサードパーティ製コンポーネントへの対応が含まれています。CRAでは、脆弱性管理の責任が製品全体に及ぶため、使用しているサードパーティ製コンポーネントについても、製造者が責任を負うことになります。

Qtでは、使用しているサードパーティ製コンポーネントやOSS(オープンソースソフトウェア)に対しても、適切なデューデリジェンス(相応の注意義務)を実施しています。

EU CRA 条文参照

前文第34項

デジタル要素を含む製品にサードパーティ製コンポーネントを組み込む製造者は、適切なデューデリジェンス(相応の注意義務)を行うことで、サイバーセキュリティ要件への準拠を確保しなければならない。
これには、適合性の確認、定期的なセキュリティアップデート、脆弱性のない状態の維持などが含まれる。

万が一脆弱性が発見された場合は、その対処を行い、責任ある関係者に通知する必要がある。なお、デューデリジェンスの内容やレベルは、コンポーネントのサイバーセキュリティリスクの度合いに応じて異なる。

法令本文を確認する

サードパーティソフトウェアに関する
考慮事項

SBOM(ソフトウェア部品表)の提供状況

​CRAにおける管理者または製造者としての対応可否

セキュリティアップデートの実施体制および運用慣行

CVE(公開脆弱性情報)の開示状況

モジュールのライセンス形態

統合の深さ(インラインコードか、別モジュールか、その中間か)

そのサードパーティ製コンポーネントを維持しますか?除外しますか?それとも統合モデルを変更しますか?そのコンポーネントに対して、より主体的にメンテナンスやCRA対応を担う必要がありますか?その対応方針をユーザーにどのように伝えますか?

サードパーティに関連する情報

※本ページおよび本ウェブサイトに記載されている情報は、法的助言を構成するものではありません。掲載内容は、あくまで情報提供およびテーマに関する議論を目的としたものであり、予告なく変更される可能性があります。Qt Groupは、本ページの内容の正確性や最新性を保証するものではなく、また本ページからリンクされている外部サイトや、外部サイトから本ページへリンクされているコンテンツや運営について一切の責任を負いません。本ページの情報は、法律上の助言の代替として使用すべきものではなく、そのように解釈されるべきではありません。