B站 嵌入式孙老师博主个人介绍博主书籍-京东购买链接*Yocto项目实战教程加博主微信进技术交流群jerrydev出海硬件厂商注意欧盟 CRA 已生效你的嵌入式设备 2026 年 9 月就要持证上岗做嵌入式、IoT、边缘设备的同行如果你的产品卖到欧洲这篇你得看完——因为有个死线很多人还没意识到。一个被低估的死线很多人以为欧盟《网络弹性法案》(Cyber Resilience Act, CRA) 是 2027 年的事慢慢准备就行。这个认知很危险。CRA 已经在 2024 年 12 月 10 日正式生效主要义务 2027 年 12 月 11 日全面适用——但漏洞和安全事件的强制上报义务从2026 年 9 月 11 日就开始执行了。从那天起已知被利用的漏洞要在 24 小时内预警、72 小时内完整通报。换句话说留给你的不是两年是几个月。更关键的一点这不是只管欧洲公司的法案。只要你的产品进入欧盟市场中国厂商一样在监管范围内。而且范围极广几乎所有带数字元素的产品——硬件、嵌入式系统、IoT 设备全部覆盖。不合规的代价也不轻最高可罚 1500 万欧元或全球年营收的 2.5%取高者。把法条翻译成工程师的活儿法律条文看着头大但落到我们手里其实就是一串熟悉的技术任务。CRA 的核心是 secure-by-design拆开来就是下面这几件事安全启动Secure Boot建立信任根确保设备只跑经过签名的固件防止刷入恶意镜像。安全 OTA 升级升级包要签名校验、支持回滚保证产品在整个生命周期内能持续打补丁——这是 CRA 反复强调的全生命周期安全更新。密钥与凭据管理杜绝硬编码密钥、出厂默认密码敏感数据加密存储。软件物料清单SBOM你必须说得清自己产品里用了哪些组件、哪些版本。这是后面所有漏洞响应的前提——连用了哪些库都不知道就根本无法判断某个 CVE 是否影响你的产品也就无法在 24 小时内上报。漏洞监控与响应流程持续跟踪 CVE建立从发现到修复到上报的闭环。最小攻击面关闭调试口、裁剪不必要的服务和组件。看出来了吗这些恰恰是嵌入式底层BSP、Bootloader、OTA、系统裁剪的本职工作。CRA 没有发明新技术它只是把做不做随你变成了必须做还有死线。现在能做的三件事盘清家底先给在售产品建 SBOM搞清楚每个设备里跑的是什么。补齐安全启动链和签名 OTA这两块是评估时最硬的指标也最花时间越早开工越好。建漏洞响应机制哪怕先是个手动流程也比 9 月之后被动挨罚强。开发周期动辄一年以上2027 真的没有看上去那么远。今天动手才来得及。我自己长期在边缘 AI 设备上做 BSP、设备安全和 OTA 体系踩过的坑不少。这篇先讲到这——如果你正在做出海设备、被 CRA 这块卡住评论区或私信说说你卡在哪一步是 SBOM、安全启动还是 OTA点赞多的痛点我下一篇专门拆开讲。—— 嵌入式孙老师