Keysight SBOM Manager Visibilidade da SBOM ao longo de todo o ciclo de vida para uma cadeia de suprimentos de software segura

O Keysight SBOM Manager se diferencia de muitas ferramentas de SBOM ao combinar a geração de SBOM binário (com patente pendente) com validação, enriquecimento, monitoramento contínuo, gerenciamento escalável de VEX e compartilhamento seguro em uma única plataforma. Ao contrário de ferramentas que dependem principalmente de dados de código-fonte ou do sistema de compilação, ele analisa binários, firmware e software compilado para identificar componentes de código aberto, proprietários e profundamente incorporados que, de outra forma, poderiam passar despercebidos. Ele também melhora a qualidade do SBOM e a preparação para conformidade, alinhando os resultados com as expectativas mínimas de elementos de estruturas como as diretrizes da FDA, a Lei de Resiliência Cibernética da UE e os requisitos do CERT-In. Além disso, embora algumas ferramentas afirmem oferecer análise completa de acessibilidade de CVEs, tais abordagens costumam ser inconclusivas na prática. O Keysight SBOM Manager adota uma abordagem mais pragmática e confiável, combinando correlação de vulnerabilidades de múltiplas fontes, filtragem inteligente de CVEs claramente irrelevantes e geração escalável de VEX para fornecer um contexto real de explorabilidade. Isso permite que as organizações priorizem riscos passíveis de ação sem depender de alegações incertas de acessibilidade. Tanto para produtores quanto para consumidores, a plataforma oferece gerenciamento do ciclo de vida, visibilidade no nível dos ativos e monitoramento contínuo, transformando SBOMs de documentos estáticos de conformidade em inteligência de segurança acionável.

Sim, é possível gerar SBOMs sem código-fonte utilizando análise binária avançada. O Keysight SBOM Manager utiliza técnicas com patente pendente para analisar binários compilados, firmware e contêineres, permitindo a detecção de componentes incorporados que as ferramentas baseadas em código-fonte frequentemente não identificam. Essa abordagem é especialmente importante para a análise de software de terceiros, bibliotecas vinculadas estaticamente, sistemas legados e ambientes de código fechado nos quais o código-fonte não está disponível.

O Keysight SBOM Manager melhora a precisão e a cobertura da SBOM ao analisar os binários, firmwares e softwares compilados reais que são entregues e implantados, em vez de basear-se apenas no código-fonte, nos manifestos de pacotes ou nos artefatos da compilação. Isso é fundamental porque muitos produtos de software contêm bibliotecas vinculadas estaticamente, código nativo, módulos proprietários, componentes de terceiros e dependências profundamente incorporadas que as ferramentas baseadas em código-fonte frequentemente ignoram ou identificam incorretamente. Utilizando tecnologia de detecção de binários com patente pendente, a Keysight identifica uma gama mais ampla de componentes em softwares de código aberto, proprietários e de código fechado, ajudando as organizações a criar SBOMs que refletem mais fielmente o conteúdo real do produto fornecido. Ela também melhora a precisão ao identificar nomes e versões de componentes com maior exatidão e atribuir os identificadores corretos, incluindo CPEs e PURLs, para oferecer um mapeamento de vulnerabilidades mais confiável. Além disso, o Keysight SBOM Manager valida, normaliza, corrige e enriquece os dados da SBOM para melhorar a integridade e a qualidade, incluindo relações de dependência e metadados necessários sempre que possível. O resultado é uma SBOM de maior qualidade, mais completa e mais confiável, que oferece melhor suporte ao gerenciamento de vulnerabilidades, à conformidade regulatória e ao uso operacional posterior.

O Keysight SBOM Manager ajuda as organizações a cumprir os requisitos regulatórios em constante evolução, garantindo que as SBOMs não sejam apenas geradas, mas também mensuráveis, verificáveis e mantidas continuamente, em conformidade com as expectativas do setor e do governo. A plataforma inclui recursos integrados de pontuação e validação da qualidade do SBOM, alinhados com estruturas reconhecidas, como os elementos mínimos da NTIA, a norma BSI TR-03183 e outras diretrizes globais, permitindo que as equipes avaliem a integridade, a consistência e a usabilidade dos dados do SBOM antes do envio ou compartilhamento. Ela também monitora continuamente os componentes do SBOM em relação a múltiplas fontes de inteligência de vulnerabilidades, dando suporte a requisitos de conformidade pós-comercialização e operacionais, como avaliação contínua de riscos e resposta oportuna a vulnerabilidades recém-divulgadas. Além disso, o Keysight SBOM Manager oferece suporte ao tratamento estruturado do contexto de vulnerabilidades por meio do VEX, ao compartilhamento controlado e rastreável de SBOMs e ao gerenciamento de versões entre lançamentos de produtos. Ao combinar validação de qualidade, monitoramento contínuo e rastreabilidade do ciclo de vida, a plataforma permite que as organizações passem de relatórios de conformidade pontuais para um processo de conformidade repetível e pronto para auditoria, alinhado a regulamentações como as diretrizes da FDA, a Lei de Resiliência Cibernética da UE, o PCI DSS e os requisitos do CERT-In.

O Vulnerability Exploitability eXchange (VEX) é uma forma padronizada para que os fabricantes de software comuniquem se uma vulnerabilidade conhecida (CVE) afeta efetivamente seu produto e, em caso afirmativo, em que condições. Embora as SBOMs listem todos os componentes e suas vulnerabilidades potenciais, elas não fornecem contexto sobre a explorabilidade. Isso frequentemente leva a grandes volumes de CVEs relatadas, muitas das quais podem não ser relevantes em uma determinada configuração de produto. O VEX resolve essa lacuna ao permitir que os fornecedores declarem se uma vulnerabilidade não é afetada, é afetada, foi corrigida ou está sob investigação, juntamente com a justificativa correspondente. Esse contexto é fundamental para a conformidade regulatória, a comunicação com o cliente e a priorização eficaz de vulnerabilidades. O Keysight SBOM Manager permite o gerenciamento escalável e orientado pelo ciclo de vida do VEX, integrando-o estreitamente aos dados da SBOM. Ele oferece suporte tanto à geração quanto à importação de documentos VEX, permitindo que as organizações criem suas próprias declarações VEX, bem como importem dados VEX de fornecedores e terceiros. A plataforma mantém a sincronização entre as atualizações da SBOM e o status de vulnerabilidade entre produtos e versões, garantindo consistência ao longo do tempo. Ela correlaciona continuamente os componentes da SBOM com inteligência de vulnerabilidades de múltiplas fontes para identificar CVEs recém-divulgados e ajuda as equipes a avaliar e atribuir com eficiência o status de explorabilidade. Ao combinar o VEX com filtragem e priorização inteligentes de vulnerabilidades, a Keysight reduz o ruído de CVEs e ajuda as equipes de segurança a se concentrarem em riscos passíveis de ação. Além disso, os documentos VEX podem ser compartilhados com segurança, juntamente com os SBOMs, com clientes, parceiros e reguladores por meio de mecanismos de distribuição controlados e versionados, melhorando a transparência, a confiança e a conformidade ao longo do ciclo de vida da cadeia de suprimentos de software.

O Keysight SBOM Manager reduz a sobrecarga de vulnerabilidades ao abordar as causas fundamentais do ruído na análise baseada em SBOM — nomeadamente mapeamentos imprecisos de vulnerabilidades, fontes de dados incompletas e falta de contexto de explorabilidade. Muitas ferramentas dependem fortemente de uma única fonte, como o National Vulnerability Database (NVD), e utilizam correspondência automatizada baseada em CPE, o que pode levar tanto a falsos positivos quanto a falsos negativos devido a mapeamentos ausentes, excessivamente amplos ou incorretos. A Keysight supera isso correlacionando componentes SBOM com múltiplas fontes de inteligência sobre vulnerabilidades e ameaças, incluindo fontes oficiais, como alertas de fornecedores e repositórios mantidos por projetos, e priorizando-as quando surgem discrepâncias. Isso permite que a plataforma identifique inconsistências nos dados de vulnerabilidade e melhore significativamente a precisão. Além disso, o Keysight SBOM Manager realiza análises precisas de versão e nível de patch, garantindo que vulnerabilidades já corrigidas em uma versão específica do componente sejam automaticamente excluídas. Isso evita o problema comum em que as ferramentas relatam vulnerabilidades com base apenas nas versões básicas, sem considerar os patches aplicados. Para uma redução mais profunda do ruído, a plataforma aplica uma abordagem pragmática e automatizada à explorabilidade. Para componentes selecionados, ele realiza uma análise avançada de acessibilidade CVE para determinar se o código vulnerável está realmente presente ou sendo usado no produto. Com base nessa análise, ele pode gerar automaticamente declarações de Vulnerability Exploitability eXchange (VEX), por exemplo, marcando vulnerabilidades como “Não afetadas” quando o código relevante não estiver incluído. Ao combinar inteligência de múltiplas fontes, validação confiável, análise com reconhecimento de patches, avaliação seletiva de acessibilidade e geração automatizada de VEX, o Keysight SBOM Manager reduz drasticamente os falsos positivos e os falsos negativos. O resultado é uma visão focada e acionável das vulnerabilidades que ajuda as equipes de segurança a priorizar riscos reais, reduzir o esforço de investigação manual e responder de forma mais eficiente aos requisitos de segurança e conformidade.

O Keysight SBOM Manager permite que os usuários de SBOMs e os proprietários de ativos vão além das SBOMs estáticas e as transformem em inteligência de segurança operacional que se adapta diretamente aos seus ambientes reais. Atualmente, muitas organizações carecem de visibilidade sobre as SBOMs ou as tratam como documentos estáticos, sem conexão com feeds de vulnerabilidades ou inventários de ativos, o que limita seu valor prático. A Keysight resolve isso fornecendo uma plataforma centralizada para importar SBOMs fornecidas por fornecedores, gerar SBOMs independentemente de binários e comparar as duas para validar a precisão e descobrir componentes ocultos ou ausentes — apoiando uma abordagem de “confiar, mas verificar”. A plataforma então enriquece os dados do SBOM com inteligência de vulnerabilidades de múltiplas fontes e monitoramento contínuo, garantindo que vulnerabilidades recém-divulgadas sejam automaticamente correlacionadas com todos os componentes conhecidos. Ao contrário dos fluxos de trabalho tradicionais que dependem de alertas de fornecedores e investigação manual — o que pode levar semanas ou meses —, a Keysight permite a detecção de exposição em tempo real, identificando componentes e ativos afetados segundos após a divulgação de um novo CVE. Um diferencial importante é sua capacidade de mapear dados de SBOM para ativos realmente implantados, integrando-se a sistemas de inventário e descoberta de ativos para fornecer contexto completo, como localização, propriedade e criticidade dos ativos. Isso permite que as organizações respondam a perguntas críticas instantaneamente: Estamos afetados? Quais ativos? Onde estão localizados? Quão críticos são? O Keysight SBOM Manager também incorpora a ingestão e o gerenciamento de VEX, permitindo que os usuários apliquem o contexto de explorabilidade fornecido pelos fornecedores e refinem as avaliações de risco iniciais ao longo do tempo. Combinado com triagem automatizada de vulnerabilidades, priorização inteligente e alertas contextuais, isso reduz significativamente o esforço manual e melhora a tomada de decisões. Ao reunir a ingestão e geração de SBOM, o monitoramento contínuo de vulnerabilidades, a correlação no nível dos ativos e o contexto orientado por VEX, o Keysight SBOM Manager permite que os proprietários de ativos passem de uma análise reativa e atrasada para uma visibilidade de risco imediata, precisa e acionável. Isso resulta em uma resposta mais rápida a incidentes, maior resiliência operacional e maior conformidade com regulamentações como NIS2 e IEC 62443.

O Keysight SBOM Manager oferece acesso centralizado e baseado em funções, além de mecanismos de distribuição controlada para o compartilhamento de SBOMs e documentos VEX. Ele garante o controle de versões, a rastreabilidade e o acesso seguro, eliminando a necessidade de transferências manuais de arquivos e permitindo que as organizações atendam tanto às expectativas regulatórias quanto aos requisitos de transparência dos clientes.