Keysight SBOM Manager Visibilidad completa del SBOM a lo largo de todo el ciclo de vida para una cadena de suministro de software segura

Keysight SBOM Manager se diferencia de muchas otras herramientas de SBOM al combinar la generación de SBOM binarios —con patente en trámite— con la validación, el enriquecimiento, la supervisión continua, la gestión escalable de VEX y el intercambio seguro, todo ello en una única plataforma. A diferencia de las herramientas que se basan principalmente en el código fuente o en los datos del sistema de compilación, analiza binarios, firmware y software compilado para detectar componentes de código abierto, propietarios y profundamente integrados que, de otro modo, podrían pasar desapercibidos. También mejora la calidad de la SBOM y la preparación para el cumplimiento normativo al alinear los resultados con las expectativas mínimas de elementos de marcos como las directrices de la FDA, la Ley de Ciberresiliencia de la UE y los requisitos de CERT-In. Además, aunque algunas herramientas afirman realizar un análisis completo de la accesibilidad de CVE, estos enfoques suelen ser poco concluyentes en la práctica. Keysight SBOM Manager adopta un enfoque más pragmático y fiable al combinar la correlación de vulnerabilidades de múltiples fuentes, el filtrado inteligente de CVE claramente irrelevantes y la generación escalable de VEX para proporcionar un contexto real de explotabilidad. Esto permite a las organizaciones priorizar los riesgos sobre los que se puede actuar sin depender de afirmaciones de accesibilidad inciertas. Tanto para los productores como para los consumidores, la plataforma ofrece gestión del ciclo de vida, visibilidad a nivel de activos y supervisión continua, convirtiendo las SBOM de documentos de cumplimiento estáticos en inteligencia de seguridad útil.

Sí, las SBOM se pueden generar sin código fuente mediante un análisis binario avanzado. Keysight SBOM Manager utiliza técnicas pendientes de patente para analizar binarios compilados, firmware y contenedores, lo que permite detectar componentes integrados que las herramientas basadas en código fuente suelen pasar por alto. Este enfoque resulta especialmente importante para analizar software de terceros, bibliotecas enlazadas estáticamente, sistemas heredados y entornos de código cerrado en los que no se dispone del código fuente.

Keysight SBOM Manager mejora la precisión y la cobertura de la SBOM al analizar los binarios, el firmware y el software compilado reales que se entregan e implementan, en lugar de basarse únicamente en el código fuente, los manifiestos de paquetes o los artefactos de compilación. Esto es fundamental, ya que muchos productos de software contienen bibliotecas enlazadas estáticamente, código nativo, módulos propietarios, componentes de terceros y dependencias profundamente integradas que las herramientas basadas en el código fuente a menudo pasan por alto o identifican erróneamente. Mediante una tecnología de detección de binarios pendiente de patente, Keysight identifica una gama más amplia de componentes en software de código abierto, propietario y de código cerrado, lo que ayuda a las organizaciones a crear SBOM que reflejen con mayor precisión el contenido real del producto suministrado. También mejora la precisión al identificar los nombres y versiones de los componentes con mayor exactitud y asignar los identificadores correctos, incluidos CPE y PURL, para facilitar una asignación de vulnerabilidades más fiable. Además, Keysight SBOM Manager valida, normaliza, corrige y enriquece los datos de la SBOM para mejorar su exhaustividad y calidad, incluyendo las relaciones de dependencia y los metadatos necesarios siempre que sea posible. El resultado es una SBOM de mayor calidad, más completa y más fiable que respalda mejor la gestión de vulnerabilidades, el cumplimiento normativo y el uso operativo posterior.

Keysight SBOM Manager ayuda a las organizaciones a cumplir con los requisitos normativos en constante evolución, garantizando que las listas de materiales de seguridad (SBOM) no solo se generen, sino que también sean cuantificables, verificables y se mantengan de forma continua, de acuerdo con las expectativas del sector y de las autoridades. La plataforma incluye capacidades integradas de puntuación y validación de la calidad de las SBOM alineadas con marcos reconocidos, como los elementos mínimos de la NTIA, la norma BSI TR-03183 y otras directrices globales, lo que permite a los equipos evaluar la integridad, la coherencia y la usabilidad de los datos de las SBOM antes de su envío o intercambio. Además, supervisa continuamente los componentes de las SBOM comparándolos con múltiples fuentes de inteligencia sobre vulnerabilidades, lo que respalda los requisitos de cumplimiento operativo y posteriores a la comercialización, como la evaluación continua de riesgos y la respuesta oportuna a las vulnerabilidades recién reveladas. Además, Keysight SBOM Manager permite el manejo estructurado del contexto de las vulnerabilidades a través de VEX, el intercambio controlado y trazable de SBOM y la gestión de versiones entre lanzamientos de productos. Al combinar la validación de calidad, la supervisión continua y la trazabilidad del ciclo de vida, la plataforma permite a las organizaciones pasar de la presentación de informes de cumplimiento puntuales a un proceso de cumplimiento repetible y listo para auditorías, alineado con normativas como las directrices de la FDA, la Ley de Ciberresiliencia de la UE, PCI DSS y los requisitos de CERT-In.

Vulnerability Exploitability eXchange (VEX) es un método estandarizado que permite a los fabricantes de software comunicar si una vulnerabilidad conocida (CVE) afecta realmente a su producto y, en caso afirmativo, en qué condiciones. Aunque las listas SBOM recogen todos los componentes y sus posibles vulnerabilidades, no proporcionan información sobre la explotabilidad. Esto suele dar lugar a grandes volúmenes de CVE notificadas, muchas de las cuales pueden no ser relevantes en una configuración de producto determinada. VEX aborda esta carencia permitiendo a los proveedores declarar si una vulnerabilidad no afecta, afecta, está solucionada o se encuentra bajo investigación, junto con la justificación correspondiente. Este contexto es fundamental para el cumplimiento normativo, la comunicación con los clientes y la priorización eficaz de las vulnerabilidades. Keysight SBOM Manager permite una gestión de VEX escalable y basada en el ciclo de vida mediante una estrecha integración de VEX con los datos de la SBOM. Admite tanto la generación como la importación de documentos VEX, lo que permite a las organizaciones crear sus propias declaraciones VEX, así como incorporar datos VEX de proveedores y terceros. La plataforma mantiene la sincronización entre las actualizaciones de la SBOM y el estado de las vulnerabilidades en todos los productos y versiones, garantizando la coherencia a lo largo del tiempo. Correlaciona continuamente los componentes de la SBOM con inteligencia sobre vulnerabilidades de múltiples fuentes para identificar CVE recién reveladas y ayuda a los equipos a evaluar y asignar de manera eficiente el estado de explotabilidad. Al combinar VEX con el filtrado y la priorización inteligentes de vulnerabilidades, Keysight reduce el ruido de los CVE y ayuda a los equipos de seguridad a centrarse en los riesgos que requieren acción. Además, los documentos VEX se pueden compartir de forma segura junto con las SBOM con clientes, socios y reguladores a través de mecanismos de distribución controlados y versionados, lo que mejora la transparencia, la confianza y el cumplimiento a lo largo del ciclo de vida de la cadena de suministro de software.

Keysight SBOM Manager reduce la sobrecarga de vulnerabilidades al abordar las causas fundamentales del ruido en el análisis basado en SBOM, a saber: asignaciones de vulnerabilidades inexactas, fuentes de datos incompletas y la falta de contexto sobre la explotabilidad. Muchas herramientas dependen en gran medida de una única fuente, como la Base de Datos Nacional de Vulnerabilidades (NVD), y utilizan una coincidencia automatizada basada en CPE, lo que puede dar lugar tanto a falsos positivos como a falsos negativos debido a asignaciones que faltan, son demasiado amplias o son incorrectas. Keysight supera esto correlacionando los componentes de la SBOM con múltiples fuentes de inteligencia sobre vulnerabilidades y amenazas, incluidas fuentes autorizadas como los avisos de los proveedores y los repositorios mantenidos por los proyectos, y priorizándolas cuando surgen discrepancias. Esto permite a la plataforma identificar inconsistencias en los datos de vulnerabilidades y mejorar significativamente la precisión. Además, Keysight SBOM Manager realiza un análisis preciso a nivel de versión y parches, lo que garantiza que las vulnerabilidades ya corregidas en una versión específica del componente se excluyan automáticamente. Esto evita el problema habitual en el que las herramientas informan de vulnerabilidades basándose únicamente en las versiones base sin tener en cuenta los parches aplicados. Para una mayor reducción del ruido, la plataforma aplica un enfoque pragmático y automatizado a la explotabilidad. Para componentes seleccionados, realiza un análisis avanzado de accesibilidad CVE para determinar si el código vulnerable está realmente presente o se utiliza en el producto. Basándose en este análisis, puede generar automáticamente declaraciones de Vulnerability Exploitability eXchange (VEX), por ejemplo, marcando las vulnerabilidades como «No afectadas» cuando el código relevante no está incluido. Al combinar inteligencia de múltiples fuentes, validación autorizada, análisis que tiene en cuenta los parches, evaluación selectiva de la accesibilidad y generación automatizada de VEX, Keysight SBOM Manager reduce drásticamente los falsos positivos y los falsos negativos. El resultado es una visión de las vulnerabilidades centrada y práctica que ayuda a los equipos de seguridad a priorizar los riesgos reales, reducir el esfuerzo de investigación manual y responder de forma más eficiente a los requisitos de seguridad y cumplimiento.

Keysight SBOM Manager permite a los usuarios de SBOM y a los propietarios de activos ir más allá de las SBOM estáticas y convertirlas en inteligencia de seguridad operativa que se adapta directamente a sus entornos reales. Hoy en día, muchas organizaciones carecen de visibilidad sobre las SBOM o las tratan como documentos estáticos que no están conectados a fuentes de información sobre vulnerabilidades ni a inventarios de activos, lo que limita su valor práctico. Keysight aborda este problema proporcionando una plataforma centralizada para incorporar las SBOM proporcionadas por los proveedores, generar SBOM de forma independiente a partir de los binarios y comparar ambas para validar la precisión y descubrir componentes ocultos o faltantes, lo que respalda un enfoque de «confiar, pero verificar». A continuación, la plataforma enriquece los datos de las SBOM con inteligencia sobre vulnerabilidades de múltiples fuentes y una supervisión continua, lo que garantiza que las vulnerabilidades recién reveladas se correlacionen automáticamente con todos los componentes conocidos. A diferencia de los flujos de trabajo tradicionales que dependen de los avisos de los proveedores y de la investigación manual —que puede llevar semanas o meses—, Keysight permite la detección de la exposición en tiempo real, identificando los componentes y activos afectados en cuestión de segundos tras la divulgación de un nuevo CVE. Un diferenciador clave es su capacidad para asignar los datos de la SBOM a los activos realmente desplegados, integrándose con los sistemas de inventario y descubrimiento de activos para proporcionar un contexto completo, como la ubicación, la propiedad y la criticidad de los activos. Esto permite a las organizaciones responder a preguntas críticas al instante: ¿Estamos afectados? ¿Qué activos? ¿Dónde se encuentran? ¿Qué grado de criticidad tienen? Keysight SBOM Manager también incorpora la ingesta y gestión de VEX, lo que permite a los usuarios aplicar el contexto de explotabilidad proporcionado por los proveedores y refinar las evaluaciones de riesgo iniciales a lo largo del tiempo. En combinación con la clasificación automatizada de vulnerabilidades, la priorización inteligente y las alertas contextuales, esto reduce significativamente el esfuerzo manual y mejora la toma de decisiones. Al reunir la ingesta y generación de SBOM, la monitorización continua de vulnerabilidades, la correlación a nivel de activos y el contexto basado en VEX, Keysight SBOM Manager permite a los propietarios de activos pasar de un análisis reactivo y retrasado a una visibilidad de riesgos inmediata, precisa y sobre la que se puede actuar. Esto se traduce en una respuesta más rápida ante incidentes, una mayor resiliencia operativa y un cumplimiento más riguroso de normativas como NIS2 e IEC 62443.

Keysight SBOM Manager ofrece un acceso centralizado y basado en roles, así como mecanismos de distribución controlada para compartir listas SBOM y documentos VEX. Garantiza el control de versiones, la trazabilidad y un acceso seguro, lo que elimina la necesidad de transferencias manuales de archivos y permite a las organizaciones cumplir tanto con las exigencias normativas como con los requisitos de transparencia de los clientes.