L
LEONA & CRAVIT
CRA Compliance Nu live: v2.4 (Maart 2026)

Uw Yocto Build.
CRA Gecertificeerd.

Genereer in 60 seconden een volledig Technisch Constructiedossier. Geen consultancy-trajecten, enkel geautomatiseerde compliance voor de Vlaamse machinebouw.

Start Gratis Scan Voor Advocaten
v-assessor-audit.pdf
compliance_matrix.json

LEONA & CRAVIT Report

Audit ID: 2026-X84-Yo

Risk Level: High

CRA Section 3.1

Kernel Hardening

FAILED: LTS Support Expired

SBOM Integrity

CycloneDX Validatie

PASSED: v1.5 Detected

NIS2 / CER Supply Chain Attestatie

Unlock Full Technical File
© 2026 LEONA. Gevalideerd conform de Cyber Resilience Act (EU 2024/2847).
Technische Diepgang

De Drie Pilaren
van Kwaliteit

LEONA & CRAVIT analyseert niet alleen de SBOM, maar valideert uw volledige build-omgeving tegen de Annex I security-eisen. Elke binary wordt getraceerd naar zijn bronlicentie en CVE-geschiedenis.

1

Bitbake Layer Inspection

Wij analyseren niet alleen de SBOM, maar valideren uw .bb recipes en local.conf tegen de Annex I security-eisen.

Detecteert: Onveilige IMAGE_FEATURES, missing SECURITY_CFLAGS, outdated layers

2

Binary Provenance Tracking

Elke binary in uw image wordt getraceerd naar zijn bronlicentie en CVE-geschiedenis. Essentieel voor de juridische bewijslast onder de Cyber Resilience Act.

Gebruikt: NVD API 2.0, cve-check.bbclass, SPDX relationship mapping

3

Automated Annex I Mapping

Onze engine vertaalt technische configuraties (zoals Secure Boot, Read-Only FS en Signed Updates) direct naar de wettelijke artikelen 3.1 t/m 3.6.

Valideert: dm-verity, ima-evm-rootfs, SECURITY_LDFLAGS, kernel lockdown

Validatie Parameters Matrix

Validatie Parameter Juridische Relevantie (CRA) Technisch Instrument (Yocto)
CVE Backporting Audit Art. 10: Vulnerability handling cve-check.bbclass + NVD API 2.0
Hardened Toolchain Art. 3.1: Security by design SECURITY_CFLAGS & _LDFLAGS audit
License Compliance Art. 18: Technical documentation COPYLEFT_COMPLIANCE validatie
Integrity Checks Art. 3.2: Protection against tampering dm-verity & ima-evm-rootfs detectie
Multi-Framework Attestation

De "Vanta" voor
Embedded Linux

LEONA & CRAVIT valideert uw systeem tegen de drie belangrijkste Europese kaders voor de maakindustrie. Eén scan, drie compliance-dossiers.

CRA

Cyber Resilience Act

Productveiligheid & Security-by-Design. Verplicht voor CE-markering vanaf september 2026.

CER

Critical Entities Resilience

Kritieke Entiteiten & Fysieke Weerbaarheid. Cruciaal voor infrastructuur-gerelateerde machines.

NIS2

Network and Information Security 2

Supply Chain Security & Incident Reporting. Vereist door uw klanten in energiesector en zorg.

Waarom dit belangrijk is: Uw klanten vragen niet alleen om CRA-compliance. Zij opereren onder NIS2 (kritieke infrastructuur) en CER (fysieke security). Door alle drie de frameworks te dekken, wordt uw product onmisbaar in hun supply chain.

Technical Construction File

Van SBOM
tot volledig
juridisch dossier

Geen consultants. Geen weken wachten. Upload uw Yocto SPDX, Buildroot CSV of Debian manifest en ontvang uw gevalideerd Technisch Constructiedossier voor de CE-markering.

Yocto & Buildroot

Kernel-kwetsbaarheden
detecteren voordat
ze uw certificering blokkeren

LEONA & CRAVIT controleert automatisch of uw Linux-kernel EOL is en scant op zero-day CVE's volgens CRA Artikel 10 vereisten.

BusyBox Security

Detecteer onveilige
Telnet en FTP configuraties
in uw embedded stack

Medische Apparaten

Debian-gebaseerde
systemen
audit-ready

Industriële IoT

Real-time kernel
compliance-check

Automotive Linux

GPL-3.0
licentie-risico
eliminatie

Diagnostische Scan

Start V-Assessor™ Validatie

Upload uw SBOM en ontvang binnen 60 seconden een eerste analyse. Het volledige Technisch Constructiedossier wordt na validatie beschikbaar gesteld.

Direct rapport
AVG-conform
Factuur inbegrepen

Waarom firmware engineers voor LEONA kiezen

Stop met raden wat "CRA-compliant" betekent voor uw kernel

U schrijft embedded code, geen juridische dossiers. LEONA vertaalt CRA Annex I naar concrete checks voor uw Linux-configuratie: EOL kernel-detectie, CVE-mapping en BusyBox security audits.

Vermijd kostbare certificering-vertragingen door kernel-kwetsbaarheden

Één verouderde Linux-versie in uw Yocto-build kan uw product-release maanden vertragen. LEONA scant automatisch op zero-day risico's en geeft u een audit-ready rapport.

Bescherm uw IP tegen GPL-3.0 copyleft claims

GPL-verplichtingen in uw Linux-driver kunnen uw propriëtaire code blootstellen. LEONA detecteert licentie-incompatibiliteiten voordat ze juridische problemen veroorzaken.

Linux-specifieke CRA compliance

Yocto LTS-controles

Automatische detectie van EOL kernels en verouderde Yocto layers die uw CRA-certificering blokkeren.

Kernel CVE-mapping

CPE-validatie voor Linux-componenten met directe CVE-traceerbaarheid volgens CRA Artikel 11.

BusyBox security-audit

Detecteer Telnet, FTP en andere onveilige protocollen in uw embedded Linux-configuratie.

KRITIEKE TIJDLIJN

CRA is er. Klaar of niet.

De EU Cyber Resilience Act (CRA) is nu van kracht, met verplichte rapportage vanaf 11 september 2026. Of u nu aan Europese klanten verkoopt of niet, CRA-compliance wordt een baseline verwachting voor B2B software.

Deadline gepasseerd
10 December 2024

CRA In Werking

De Cyber Resilience Act is officieel van kracht getreden in de EU.

URGENT
Over 6 maanden
11 September 2026

Verplichte Rapportage

Fabrikanten moeten kwetsbaarheden rapporteren. SBOM-vereisten beginnen.

Over 1 jaar, 9 maanden
11 December 2027

Volledige Implementatie

Alle CRA-vereisten volledig van kracht voor markttoegang in de EU.

US Executive Order 14028: SBOMs voor Federale Aanbestedingen

In mei 2021 introduceerde de Amerikaanse overheid Executive Order 14028 als reactie op escalerende cyberdreigingen tegen kritieke infrastructuur. Een kernvereiste: Software Bill of Materials (SBOMs) voor alle software die aan de federale overheid wordt verkocht.

Deze SBOM-verplichting heeft de hele software-industrie getransformeerd. Het NIST Cybersecurity Framework heeft SBOMs nu als cruciaal element opgenomen.

Het Groeiende Belang van SBOMs in Cybersecurity Compliance

Het cybersecurity-landschap is de afgelopen jaren snel geëvolueerd, gedreven door toegenomen bewustzijn van kwetsbaarheden in software supply chains. Naarmate regelgevende vereisten blijven evolueren, worden SBOMs de de facto standaard voor transparantie in software supply chains.

Verbeterde Zichtbaarheid

Volledige transparantie van alle software-componenten in uw systeem

Snellere Remediation

Identificeer en verhelp kwetsbaarheden onmiddellijk

Vertrouwen Opbouwen

Sterkere relaties met klanten en partners door transparantie

⚠️ Tijd is kritiek in dit evoluerende landschap

Organisaties die SBOM-adoptie uitstellen, lopen risico niet langer compliant te zijn met regelgevende vereisten en best practices. Belangrijker nog: ze stellen zich bloot aan verhoogd risico in een tijdperk van steeds geavanceerdere cyberdreigingen.

Voor organisaties die SBOMs nog niet hebben geïntegreerd in hun software development en procurement processen, is de urgentie duidelijk: SBOM-adoptie gaat niet alleen over compliance — het is fundamenteel voor het waarborgen van de beveiliging en veerkracht van moderne software-infrastructuur.

Start uw CRA Compliance Scan →
Kennisbank

CRA-vereisten voor Linux Embedded Systemen

Vertaling van juridische compliance naar concrete technische implementatie voor uw Linux-distributie

CRA Artikel 10 🚨 Kritiek

End-of-Life Kernel Detectie: Yocto, Buildroot en Debian

Verouderde Linux-kernels zijn de #1 oorzaak van CRA non-compliance. Leer hoe LEONA automatisch EOL detecteert.

Wat eist de CRA?

CRA Artikel 10, lid 2 vereist dat fabrikanten kwetsbaarheden actief identificeren en patches distribueren gedurende de hele "support period". Een End-of-Life (EOL) kernel ontvangt geen security updates meer, waardoor u automatisch non-compliant bent.

🐧 Linux-specifieke implementatie per distributie

Y Yocto Project / OpenEmbedded

Risico: Yocto laat u elke kernel-versie kiezen. Dit is flexibel, maar gevaarlijk.

LEONA check:

  • Scant PREFERRED_VERSION_linux-yocto in uw local.conf
  • Vergelijkt met kernel.org LTS support-schema
  • Geeft waarschuwing als uw kernel < 5.10 (EOL in 2026) of niet-LTS

Fix: Update naar linux-yocto 6.6 (LTS tot dec 2026) of 6.12 (LTS tot 2029)

B Buildroot

Risico: Buildroot headers verbergen de exacte kernel-versie in menuconfig.

LEONA check:

  • Parst .config voor BR2_LINUX_KERNEL_VERSION
  • Detecteert "latest" of "custom" tarballs zonder versie-pinning
  • Valideert tegen CVE-database voor bekende kernel-kwetsbaarheden

Fix: Pin expliciete versie in BR2_LINUX_KERNEL_CUSTOM_VERSION_VALUE="6.6.15"

D Debian Embedded (incl. Raspberry Pi OS)

Risico: Debian Stable bevriest packages, inclusief de kernel.

LEONA check:

  • Detecteert linux-image-* package-versie in SBOM
  • Cross-reference met Debian Security Tracker voor openstaande CVE's
  • Waarschuwt als u Debian Buster (EOL 2024) of ouder gebruikt

Fix: Upgrade naar Debian 12 "Bookworm" (support tot 2028) + enable unattended-upgrades

⚠️ LEONA Pro Tip: De CRA vereist dat u kwetsbaarheden binnen 24 uur identificeert (Artikel 11, lid 3). Een EOL kernel maakt dit onmogelijk. Scan elke release.

CRA Annex I, Part II(1) BusyBox

Onveilige Protocollen: Telnet, FTP en rlogin in Embedded Linux

CRA verbiedt "known exploitable vulnerabilities". Telnet en FTP in BusyBox vallen hieronder.

Wat eist de CRA?

Annex I, Part II, sectie 1(a): "Products shall be delivered without any known exploitable vulnerabilities." Telnet (plaintext credentials) en FTP (geen encryptie) zijn per definitie kwetsbaar.

Waarom BusyBox het probleem is

BusyBox is de standaard userland voor 90% van embedded Linux. Het is geïmplementeerd als één executable met "applets" die via symlinks worden aangeroepen. Standaard bevat het:

  • telnetd - Telnet daemon (poort 23)
  • ftpd / ftpget - FTP server/client
  • rlogin - Remote login zonder authenticatie
🚨 LEONA detectie-logica

Wij scannen uw SBOM op:

// Go code in internal/analyzer/busybox.go
if component.Name == "busybox" {
    if strings.Contains(component.PURL, "telnet") ||
       strings.Contains(component.Properties, "CONFIG_TELNETD=y") {
        violations = append(violations, 
            "CRA Non-Compliant: BusyBox Telnet enabled (plaintext credentials)")
    }
}

Distributie-specifieke fixes

Yocto / OpenEmbedded:

Voeg toe aan local.conf:

PACKAGECONFIG_remove_pn-busybox = "telnetd ftpd rlogin"
IMAGE_INSTALL_append = " openssh-sshd"

Buildroot:

In menuconfig:

Target packages > BusyBox configuration
  [ ] telnetd
  [ ] ftpd
  [*] dropbear (SSH replacement)

🛡️ Best Practice: Vervang BusyBox networking door Dropbear (SSH) voor debugging. Disable alle network services in productie-builds.

CRA Artikel 14 Licenties

GPL-3.0 Copyleft Risico's in Linux Drivers en Kernel Modules

GPL-3.0 in uw kernel-module kan uw proprietary code "besmetten". LEONA detecteert dit voordat het een juridisch probleem wordt.

Wat eist de CRA?

Artikel 14: Fabrikanten moeten een SBOM verstrekken met "licensing information". Als u GPL-3.0 code gebruikt in een closed-source product, overtreedt u niet alleen de licentie, maar ook CRA rapportageverplichtingen.

Het Linux Kernel Module Probleem

De Linux kernel zelf is GPL-2.0. Maar veel third-party drivers en userspace libraries zijn GPL-3.0. Het verschil:

  • GPL-2.0: Copyleft geldt voor "derived works". Kernel modules via MODULE_LICENSE("GPL") zijn OK als ze alleen kernel API's aanroepen.
  • GPL-3.0: Expliciete "Tivoization" clausule. Als u GPL-3.0 code linkt, moet uw éntire binary open-source worden.
⚠️ Veelvoorkomende valkuil: Automotive

Veel automotive systemen gebruiken Qt (GPL-3.0) voor HMI. Als u Qt linkt met uw proprietary CAN-bus stack zonder commerciële licentie, bent u verplicht uw code te publiceren.

LEONA check: Scant SBOM op libQt*.so + proprietary components in dezelfde LD_LIBRARY_PATH.

LEONA GPL-detectie per distributie

🐧 Yocto Project:

  • Parst license.manifest in image rootfs
  • Detecteert INCOMPATIBLE_LICENSE violations
  • Waarschuwt als GPL-3.0 package wordt geïnstalleerd zonder COMMERCIAL_LICENSE flag

🐧 Buildroot:

Buildroot heeft geen native license-checker. LEONA:

  • Scant legal-info/manifest.csv
  • Cross-reference met SPDX license-db voor copyleft-types

🚨 Juridisch risico: GPL-3.0 schendingen kunnen leiden tot gedwongen open-sourcing van uw IP + contractuele boetes. Een LEONA scan van €499 is goedkoper dan één juridische brief.

CRA Artikel 14 SBOM

SBOM Generatie voor Yocto en Buildroot: CycloneDX vs SPDX

De CRA vereist een "Software Bill of Materials". Leer hoe u deze genereert voor uw Linux-build.

CRA SBOM Vereisten

Artikel 14, lid 2: De SBOM moet bevatten:

  • Lijst van alle software-componenten (incl. libraries, kernel modules)
  • Versienummers en unieke identifiers (bijv. CPE, PURL)
  • Licentie-informatie per component
  • Dependency-relaties (welke component gebruikt welke library)

🐧 SBOM Tools per Linux Distributie

Yocto Project - SPDX Support (Built-in)

Yocto Kirkstone (4.0+) heeft native SPDX-generatie:

# Voeg toe aan local.conf
INHERIT += "create-spdx"
SPDX_PRETTY = "1"

# Build image
bitbake core-image-minimal

# SBOM output:
# tmp/deploy/spdx/[MACHINE]/core-image-minimal.spdx.json

LEONA accepteert: Yocto SPDX 2.3 JSON formaat direct.

Buildroot - Manual SBOM via legal-info

Buildroot heeft geen native SBOM. Gebruik make legal-info:

make legal-info

# Output: output/legal-info/manifest.csv
# Converteer naar CycloneDX:
pip install cyclonedx-bom
cyclonedx-py -i output/legal-info/manifest.csv -o sbom.json

LEONA Pro Tip: Upload de manifest.csv direct. Wij converteren automatisch.

Debian / Ubuntu - Syft of apt-based SBOM

Voor Debian-gebaseerde systemen:

# Optie 1: Syft (aanbevolen)
curl -sSfL https://raw.githubusercontent.com/anchore/syft/main/install.sh | sh
syft scan dir:/rootfs -o cyclonedx-json > sbom.json

# Optie 2: dpkg + manual parsing
dpkg-query -W -f='${Package},${Version},${Source}\n' > packages.csv

LEONA Voordeel: Upload uw SBOM in élk formaat (SPDX, CycloneDX, CSV). Wij normaliseren automatisch en mappen naar CRA-vereisten.

Scan uw Linux SBOM met deze checks →
ACTIE DEZE WEEK: 500 EURO KORTING
Gebruik code CRA2026 bij bestelling. Geldig tot zondag 23:59.
Compliance Packages

Bescherm uw markttoegang.
Behoud uw concurrentiepositie.

6 maanden tot verplichte CRA rapportage. Bedrijven die nu compliance bereiken, behouden hun marktpositie. Bedrijven die wachten, verliezen klanten aan concurrenten die wel compliant zijn.

The Audit Start

Eenmalige volledige CRA-audit voor 1 product

€499 per product-release
  • Formeel Technisch Dossier (PDF)
  • Annex I Compliance Mapping
  • Kernel EOL + CVE detectie
  • GPL-3.0 licentie-scan
  • Email support (48u)
Bestel Nu

Direct factuur + start binnen 48u

MEEST GEKOZEN

The Compliance Shield

1 jaar onbeperkte scans + Certificaat voor 5 producten

€2.450 per jaar (bespaar €50/maand)
  • Onbeperkte scans (all tier 1 features)
  • Formele Attestatie: "CRAVIT-VERIFIED" certificaat
  • Liability Shield Statement (juridische tekst)
  • Dekking voor 5 productlijnen
  • Prioritaire support (12u response)
Bestel Nu - Bespaar 500 EUR

Volledige compliance binnen 3 weken gegarandeerd

The Enterprise Partner

Full CI/CD integratie + Jaarlijkse audit-garantie

€4.900 per jaar + onboarding
  • Alles van Tier 2 + dedicated support
  • CI/CD Integratie: Jenkins/GitLab/Yocto pipeline
  • API access voor custom workflows
  • Jaarlijkse On-site Audit (België/Nederland)
  • Dedicated Slack/Teams channel
Vraag Offerte Aan

Response binnen 4u • Start binnen 1 week

🚨 Waarom Enterprise klanten niet per scan betalen:

Één dag vertraging bij de douane kost u meer dan €4.900. Één GPL-3.0 schending kan uw IP blootstellen. Met een jaarabonnement krijgt u juridische zekerheid en continuiteit die u kunt verantwoorden aan uw CFO.

Voor Engineers en Juristen

Onze bijdrage aan een veiligere Vlaamse maakindustrie. Geen verplichtingen, gewoon vakmanschap.

Voor de Engineers

Geen zin in papierwerk? Download onze gratis meta-leona sample layer en valideer je Yocto recipes direct in de terminal. Automatische CRA-checks tijdens je BitBake build.

Inclusief: CRA-check.bbclass, kernel EOL validator, BusyBox audit recipe

Voor de Juristen

Maak je cliënten sneller CRA-ready. Download ons gratis Annex I Mapping Template en koppel juridische eisen direct aan technische bewijslast. Excel-based, ready voor je advies-dossiers.

Inclusief: CRA Artikel mapping, CPE checklist, Tivoization validator

LEONA is gebouwd door embedded engineers voor embedded engineers. We snappen Yocto, BitBake, en de realiteit van productie-builds. Deze tools zijn ons cadeau aan de community.