Keysight SBOM Manager: Vollständige SBOM-Transparenz über den gesamten Lebenszyklus für eine sichere Software-Lieferkette

Keysight SBOM Manager unterscheidet sich von vielen SBOM-Tools durch die Kombination von zum Patent angemeldeter binärer SBOM-Generierung mit Validierung, Anreicherung, kontinuierlicher Überwachung, skalierbarem VEX-Management und sicherem Austausch auf einer einzigen Plattform. Im Gegensatz zu Tools, die sich hauptsächlich auf Quellcode oder Build-System-Daten stützen, analysiert es Binärdateien, Firmware und kompilierte Software, um Open-Source-, proprietäre und tief eingebettete Komponenten aufzudecken, die sonst möglicherweise übersehen würden. Es verbessert zudem die SBOM-Qualität und die Compliance-Bereitschaft, indem es die Ergebnisse an die Mindestanforderungen von Frameworks wie FDA-Richtlinien, dem EU Cyber ​​Resilience Act und den CERT-In-Anforderungen anpasst. Darüber hinaus liefern einige Tools, die eine vollständige CVE-Erreichbarkeitsanalyse versprechen, in der Praxis oft keine eindeutigen Ergebnisse. Keysight SBOM Manager verfolgt einen pragmatischeren und zuverlässigeren Ansatz, indem es die Korrelation von Schwachstellen aus verschiedenen Quellen, die intelligente Filterung irrelevanter CVEs und die skalierbare VEX-Generierung kombiniert, um einen realen Kontext der Ausnutzbarkeit zu liefern. Dies ermöglicht es Unternehmen, handlungsrelevante Risiken zu priorisieren, ohne sich auf unsichere Erreichbarkeitsangaben verlassen zu müssen. Sowohl für Hersteller als auch für Verbraucher bietet die Plattform Lebenszyklusmanagement, Transparenz auf Anlagenebene und kontinuierliche Überwachung und wandelt SBOMs von statischen Compliance-Dokumenten in umsetzbare Sicherheitsinformationen um.

Ja, SBOMs lassen sich mithilfe fortschrittlicher Binäranalyse auch ohne Quellcode erstellen. Keysight SBOM Manager nutzt zum Patent angemeldete Verfahren zur Analyse kompilierter Binärdateien, Firmware und Container. Dadurch können eingebettete Komponenten erkannt werden, die quellcodebasierte Tools oft übersehen. Dieser Ansatz ist besonders wichtig für die Analyse von Drittanbietersoftware, statisch gelinkten Bibliotheken, Legacy-Systemen und Closed-Source-Umgebungen, in denen kein Quellcode verfügbar ist.

Keysight SBOM Manager verbessert die Genauigkeit und Abdeckung von SBOMs, indem es die tatsächlich ausgelieferten und eingesetzten Binärdateien, Firmware und kompilierte Software analysiert, anstatt sich ausschließlich auf Quellcode, Paketmanifeste oder Build-Artefakte zu verlassen. Dies ist entscheidend, da viele Softwareprodukte statisch gelinkte Bibliotheken, nativen Code, proprietäre Module, Komponenten von Drittanbietern und tief eingebettete Abhängigkeiten enthalten, die quellcodebasierte Tools oft übersehen oder falsch identifizieren. Mithilfe einer zum Patent angemeldeten Technologie zur Binärerkennung identifiziert Keysight ein breiteres Spektrum an Komponenten in Open-Source-, proprietärer und Closed-Source-Software und unterstützt Unternehmen so beim Erstellen von SBOMs, die den tatsächlichen Inhalt des ausgelieferten Produkts genauer widerspiegeln. Die Präzision wird zudem durch die genauere Identifizierung von Komponentennamen und -versionen sowie die Zuweisung der korrekten Kennungen, einschließlich CPEs und PURLs, verbessert, um eine zuverlässigere Schwachstellenanalyse zu ermöglichen. Darüber hinaus validiert, normalisiert, korrigiert und reichert Keysight SBOM Manager SBOM-Daten an, um deren Vollständigkeit und Qualität zu verbessern. Dies umfasst, wo immer möglich, Abhängigkeitsbeziehungen und erforderliche Metadaten. Das Ergebnis ist ein qualitativ hochwertigeres, vollständigeres und vertrauenswürdigeres SBOM, das das Schwachstellenmanagement, die Einhaltung gesetzlicher Vorschriften und den nachgelagerten operativen Einsatz besser unterstützt.

Keysight SBOM Manager unterstützt Unternehmen bei der Einhaltung sich wandelnder regulatorischer Anforderungen, indem sichergestellt wird, dass SBOMs nicht nur generiert, sondern auch messbar, verifizierbar und gemäß den Erwartungen von Branche und Behörden kontinuierlich gepflegt werden. Die Plattform umfasst integrierte Funktionen zur Qualitätsbewertung und Validierung von SBOMs, die auf anerkannte Frameworks wie NTIA Minimum Elements, BSI TR-03183 und andere globale Richtlinien abgestimmt sind. So können Teams die Vollständigkeit, Konsistenz und Nutzbarkeit von SBOM-Daten vor der Einreichung oder Weitergabe prüfen. Zudem überwacht die Plattform kontinuierlich SBOM-Komponenten anhand verschiedener Quellen für Schwachstelleninformationen und unterstützt damit Compliance-Anforderungen nach der Markteinführung und im operativen Betrieb, wie z. B. die laufende Risikobewertung und die zeitnahe Reaktion auf neu entdeckte Schwachstellen. Darüber hinaus ermöglicht Keysight SBOM Manager die strukturierte Handhabung des Schwachstellenkontexts durch VEX, die kontrollierte und nachvollziehbare Weitergabe von SBOMs sowie das Versionsmanagement über Produkt-Releases hinweg. Durch die Kombination von Qualitätsvalidierung, kontinuierlicher Überwachung und Rückverfolgbarkeit über den gesamten Lebenszyklus hinweg ermöglicht die Plattform Unternehmen den Übergang von einmaliger Compliance-Berichterstattung zu einem wiederholbaren, auditfähigen Compliance-Prozess, der mit Vorschriften wie den FDA-Leitlinien, dem EU Cyber ​​Resilience Act, PCI DSS und den CERT-In-Anforderungen übereinstimmt.

Vulnerability Exploitability eXchange (VEX) ist ein standardisierter Weg für Softwarehersteller, zu kommunizieren, ob eine bekannte Schwachstelle (CVE) ihr Produkt tatsächlich betrifft und, falls ja, unter welchen Bedingungen. SBOMs listen zwar alle Komponenten und ihre potenziellen Schwachstellen auf, liefern aber keinen Kontext zur Ausnutzbarkeit. Dies führt häufig zu einer großen Anzahl gemeldeter CVEs, von denen viele in einer bestimmten Produktkonfiguration irrelevant sein können. VEX schließt diese Lücke, indem es Anbietern ermöglicht, den Status einer Schwachstelle – nicht betroffen, betroffen, behoben oder in Untersuchung – inklusive Begründung anzugeben. Dieser Kontext ist entscheidend für die Einhaltung gesetzlicher Bestimmungen, die Kundenkommunikation und eine effektive Priorisierung von Schwachstellen. Keysight SBOM Manager ermöglicht ein skalierbares und lebenszyklusorientiertes VEX-Management durch die enge Integration von VEX und SBOM-Daten. Die Plattform unterstützt sowohl die Generierung als auch den Import von VEX-Dokumenten und ermöglicht es Unternehmen, eigene VEX-Berichte zu erstellen sowie VEX-Daten von Lieferanten und Drittanbietern zu integrieren. Die Plattform synchronisiert SBOM-Aktualisierungen und den Schwachstellenstatus über Produkte und Versionen hinweg und gewährleistet so die Konsistenz über die Zeit. Keysight korreliert kontinuierlich SBOM-Komponenten mit Schwachstelleninformationen aus verschiedenen Quellen, um neu gemeldete CVEs zu identifizieren und Teams bei der effizienten Bewertung und Zuweisung des Ausnutzbarkeitsstatus zu unterstützen. Durch die Kombination von VEX mit intelligenter Schwachstellenfilterung und -priorisierung reduziert Keysight die Anzahl der gemeldeten CVEs und hilft Sicherheitsteams, sich auf relevante Risiken zu konzentrieren. Darüber hinaus können VEX-Dokumente zusammen mit SBOMs sicher über kontrollierte, versionierte Verteilungsmechanismen mit Kunden, Partnern und Aufsichtsbehörden geteilt werden. Dies verbessert Transparenz, Vertrauen und Compliance entlang des gesamten Software-Lieferkettenlebenszyklus.

Keysight SBOM Manager reduziert die Informationsflut in Bezug auf Schwachstellen, indem er die Hauptursachen für Fehlalarme in SBOM-basierten Analysen behebt: ungenaue Schwachstellenzuordnungen, unvollständige Datenquellen und fehlender Kontext zur Ausnutzbarkeit. Viele Tools stützen sich stark auf eine einzelne Quelle wie die National Vulnerability Database (NVD) und verwenden automatisierte CPE-basierte Abgleiche. Dies kann aufgrund fehlender, zu allgemeiner oder fehlerhafter Zuordnungen sowohl zu falsch positiven als auch zu falsch negativen Ergebnissen führen. Keysight begegnet diesem Problem, indem es SBOM-Komponenten mit mehreren Quellen für Schwachstellen- und Bedrohungsinformationen korreliert, darunter maßgebliche Quellen wie Herstellerhinweise und projektbezogene Repositories. Diese Quellen werden bei Diskrepanzen priorisiert. Dadurch kann die Plattform Inkonsistenzen in den Schwachstellendaten erkennen und die Genauigkeit deutlich verbessern. Darüber hinaus führt Keysight SBOM Manager eine präzise Versions- und Patch-Level-Analyse durch und stellt sicher, dass Schwachstellen, die in einer bestimmten Komponentenversion bereits behoben wurden, automatisch ausgeschlossen werden. Dies vermeidet das häufige Problem, dass Tools Schwachstellen nur auf Basis der Basisversionen melden, ohne installierte Patches zu berücksichtigen. Zur effektiveren Rauschunterdrückung nutzt die Plattform einen pragmatischen und automatisierten Ansatz zur Schwachstellenanalyse. Für ausgewählte Komponenten führt sie eine erweiterte CVE-Erreichbarkeitsanalyse durch, um festzustellen, ob anfälliger Code tatsächlich im Produkt vorhanden ist oder verwendet wird. Basierend auf dieser Analyse kann sie automatisch Vulnerability Exploitability eXchange (VEX)-Aussagen generieren und beispielsweise Schwachstellen als „Nicht betroffen“ kennzeichnen, wenn der relevante Code nicht enthalten ist. Durch die Kombination von Multi-Source-Intelligence, autoritativer Validierung, patchbasierter Analyse, selektiver Erreichbarkeitsbewertung und automatisierter VEX-Generierung reduziert Keysight SBOM Manager Fehlalarme und falsch-negative Ergebnisse drastisch. Das Ergebnis ist eine fokussierte, handlungsorientierte Schwachstellenübersicht, die Sicherheitsteams dabei unterstützt, reale Risiken zu priorisieren, den manuellen Untersuchungsaufwand zu reduzieren und effizienter auf Sicherheits- und Compliance-Anforderungen zu reagieren.

Keysight SBOM Manager ermöglicht es SBOM-Nutzern und Asset-Betreibern, statische SBOMs in operative Sicherheitsinformationen umzuwandeln, die direkt auf ihre realen Umgebungen abgestimmt sind. Viele Unternehmen haben heute entweder keine SBOM-Transparenz oder behandeln SBOMs als statische Dokumente, die nicht mit Schwachstellen-Feeds oder Asset-Inventaren verknüpft sind, was ihren praktischen Nutzen einschränkt. Keysight begegnet diesem Problem mit einer zentralen Plattform, die vom Anbieter bereitgestellte SBOMs importiert, SBOMs unabhängig aus Binärdateien generiert und beide vergleicht, um die Genauigkeit zu validieren und versteckte oder fehlende Komponenten aufzudecken – ganz nach dem Prinzip „Vertrauen ist gut, Kontrolle ist besser“. Die Plattform reichert die SBOM-Daten anschließend mit Schwachstelleninformationen aus verschiedenen Quellen und kontinuierlicher Überwachung an und stellt so sicher, dass neu entdeckte Schwachstellen automatisch mit allen bekannten Komponenten korreliert werden. Im Gegensatz zu herkömmlichen Workflows, die auf Herstellerwarnungen und manuelle Untersuchungen angewiesen sind – was Wochen oder Monate dauern kann – ermöglicht Keysight die Erkennung von Schwachstellen in Echtzeit und identifiziert betroffene Komponenten und Assets innerhalb von Sekunden nach der Veröffentlichung einer neuen CVE. Ein entscheidendes Unterscheidungsmerkmal ist die Fähigkeit, SBOM-Daten den tatsächlich eingesetzten Assets zuzuordnen und sie in Asset-Inventar- und -Erkennungssysteme zu integrieren. So werden umfassende Kontextinformationen wie Standort, Eigentümer und Kritikalität der Assets bereitgestellt. Unternehmen können dadurch kritische Fragen sofort beantworten: Sind wir betroffen? Welche Assets? Wo befinden sie sich? Wie kritisch sind sie? Keysight SBOM Manager integriert außerdem die VEX-Erfassung und -Verwaltung. Dadurch können Anwender den vom Hersteller bereitgestellten Kontext zur Ausnutzbarkeit nutzen und anfängliche Risikobewertungen im Laufe der Zeit verfeinern. In Kombination mit automatisierter Schwachstellenanalyse, intelligenter Priorisierung und kontextbezogenen Warnmeldungen reduziert dies den manuellen Aufwand erheblich und verbessert die Entscheidungsfindung. Durch die Kombination von SBOM-Erfassung und -Generierung, kontinuierlicher Schwachstellenüberwachung, Korrelation auf Asset-Ebene und VEX-gestütztem Kontext ermöglicht Keysight SBOM Manager Asset-Verantwortlichen den Übergang von verzögerter, reaktiver Analyse zu sofortiger, präziser und handlungsrelevanter Risikotransparenz. Dies führt zu einer schnelleren Reaktion auf Sicherheitsvorfälle, verbesserter operativer Resilienz und besserer Einhaltung von Vorschriften wie NIS2 und IEC 62443.

Keysight SBOM Manager bietet zentralisierte, rollenbasierte Zugriffs- und kontrollierte Verteilungsmechanismen für die gemeinsame Nutzung von SBOMs und VEX-Dokumenten. Es gewährleistet Versionskontrolle, Nachverfolgbarkeit und sicheren Zugriff, wodurch manuelle Dateiübertragungen entfallen und Unternehmen sowohl regulatorische Vorgaben als auch Kundenanforderungen an Transparenz erfüllen können.