Von Git-Commit bis CRA-Release.

Das modulare CLI-Tool für Embedded-Teams

SBOM-Generierung, Artefakt-Management, Update-Dateien, SD-Card-Images und Compliance in einem Werkzeug. Vollständig selbst-gehostet. Keine Cloud-Abhängigkeit.

Funktionen entdecken Kontakt aufnehmen

Das Problem

Keine SBOM-Automatisierung

Externe Abhängigkeiten werden manuell erfasst. CVE-Checks fehlen oder passieren zu spät. SBOM-Formate sind inkonsistent.

Fragmentierte Toolchain

Separate Tools für Build, Artefakte, Updates und Images. Kein durchgängiger Traceability-Pfad vom Commit zum Release.

CRA-Deadline Dezember 2027

Der EU Cyber Resilience Act verlangt SBOM, Vulnerability-Management und technische Dokumentation. Die Zeit läuft.

Module

SBOM

Software Bill of Materials für CRA-Compliance.

  • CycloneDX 1.5 & SPDX 2.3
  • CVE-Check via OSV.dev
  • Policy-Audit & SBOM-Diff

Artifact

Artefakt-Management mit vollständiger Traceability.

  • Publish, Provision, Verify
  • bigMeta.yaml Traceability
  • Tree-Hash-Deduplizierung

Update

Sichere Update-Dateien für Embedded-Geräte.

  • makeself .run-Dateien
  • Ed25519-Signierung
  • AES-256-GCM-Verschlüsselung

Build

Build-Integration für Cross-Compilation.

  • CMake-Preset-Generator
  • Conan 2 Profile
  • Post-Build-Hooks

Image

SD-Card-Images für Embedded-Plattformen.

  • Image-Generierung via Loop-Device
  • Board-Profile (Zynq, RPi4, ARM)
  • SD-Card-Flasher

Release

Release-Pakete mit vollständiger Nachverfolgbarkeit.

  • Changelog aus Git-History
  • Traceability-Report (HTML + JSON)
  • SHA-256 Checksummen

Die Pipeline

Git Commit

SBOM

Artifact

Update / Image

Release

CRA Report

EU Cyber Resilience Act

Was der CRA verlangt

  • Software Bill of Materials (SBOM) für alle Produkte
  • Aktives Vulnerability-Management
  • Technische Dokumentation (10 Jahre)
  • ENISA-Meldepflicht bei Sicherheitsvorfällen
  • Sichere Update-Mechanismen

Was Kova liefert

  • kova sbom generate — CycloneDX & SPDX automatisch
  • kova sbom vuln — CVE-Check gegen OSV.dev
  • kova comply documentation — Art. 13 / Annex VII
  • kova comply enisa-report — Art. 14 Meldungen
  • kova update create --sign --encrypt — Ed25519 + AES-256
Deadline: Dezember 2027

Technologie

Python 3.11+ Click CLI Pydantic v2 CycloneDX 1.5 SPDX 2.3 Ed25519 AES-256-GCM makeself CMake Conan 2

Keine externen Dienste. Vollständig selbst-gehostet. Läuft auf Linux — dort wo Embedded-Entwicklung stattfindet.

Bereit für CRA-Compliance?

Innomatica GmbH, Ostfildern bei Stuttgart

[email protected]  ·  +49 711 365 570 21

Kontakt aufnehmen