Keysight SBOM Manager Visibilité sur la liste des composants logiciels (SBOM) tout au long du cycle de vie pour une chaîne d'approvisionnement logicielle sécurisée

Keysight SBOM Manager se distingue de nombreux outils SBOM en combinant, au sein d’une seule et même plateforme, la génération de SBOM binaires (en instance de brevet) avec la validation, l’enrichissement, la surveillance continue, la gestion évolutive des VEX et le partage sécurisé. Contrairement aux outils qui s’appuient principalement sur le code source ou les données des systèmes de compilation, il analyse les binaires, les micrologiciels et les logiciels compilés afin de mettre en évidence les composants open source, propriétaires et profondément intégrés qui pourraient autrement passer inaperçus. Il améliore également la qualité des SBOM et la préparation à la conformité en alignant les résultats sur les exigences minimales en matière d'éléments définies par des cadres tels que les directives de la FDA, la loi européenne sur la cyber-résilience et les exigences du CERT-In. De plus, alors que certains outils prétendent offrir une analyse complète de l'accessibilité des CVE, de telles approches s'avèrent souvent peu concluantes dans la pratique. Keysight SBOM Manager adopte une approche plus pragmatique et fiable en combinant la corrélation des vulnérabilités provenant de sources multiples, le filtrage intelligent des CVE clairement non pertinents et la génération évolutive de VEX afin de fournir un contexte d'exploitabilité réel. Cela permet aux organisations de hiérarchiser les risques exploitables sans s'appuyer sur des affirmations incertaines en matière d'accessibilité. Tant pour les producteurs que pour les consommateurs, la plateforme offre une gestion du cycle de vie, une visibilité au niveau des actifs et une surveillance continue, transformant les SBOM de documents de conformité statiques en renseignements de sécurité exploitables.

Oui, il est possible de générer des SBOM sans code source grâce à une analyse binaire avancée. Keysight SBOM Manager utilise des techniques en instance de brevet pour analyser les binaires compilés, les micrologiciels et les conteneurs, ce qui permet de détecter des composants intégrés que les outils basés sur le code source manquent souvent. Cette approche est particulièrement importante pour analyser les logiciels tiers, les bibliothèques liées statiquement, les systèmes hérités et les environnements à code source fermé où le code source n'est pas disponible.

Keysight SBOM Manager améliore la précision et la couverture des SBOM en analysant les binaires, les micrologiciels et les logiciels compilés réels qui sont livrés et déployés, plutôt que de se fier uniquement au code source, aux manifestes de paquets ou aux artefacts de compilation. Cela est essentiel, car de nombreux produits logiciels contiennent des bibliothèques liées statiquement, du code natif, des modules propriétaires, des composants tiers et des dépendances profondément intégrées que les outils basés sur le code source omettent souvent ou identifient de manière erronée. Grâce à une technologie de détection des binaires en instance de brevet, Keysight identifie un éventail plus large de composants dans les logiciels open source, propriétaires et à code source fermé, aidant ainsi les organisations à créer des SBOM qui reflètent plus fidèlement le contenu réel du produit livré. Il améliore également la précision en identifiant plus finement les noms et les versions des composants et en attribuant les identifiants corrects, notamment les CPE et les PURL, afin de permettre une cartographie plus fiable des vulnérabilités. De plus, Keysight SBOM Manager valide, normalise, corrige et enrichit les données SBOM afin d'améliorer leur exhaustivité et leur qualité, y compris les relations de dépendance et les métadonnées requises dans la mesure du possible. Il en résulte une SBOM de meilleure qualité, plus complète et plus fiable, qui facilite la gestion des vulnérabilités, la conformité réglementaire et l'utilisation opérationnelle en aval.

Keysight SBOM Manager aide les entreprises à se conformer aux exigences réglementaires en constante évolution en garantissant que les SBOM ne sont pas seulement générées, mais qu'elles sont également mesurables, vérifiables et mises à jour en continu, conformément aux attentes du secteur et des pouvoirs publics. La plateforme intègre des fonctionnalités de notation et de validation de la qualité des SBOM, alignées sur des référentiels reconnus tels que les éléments minimaux de la NTIA, la norme BSI TR-03183 et d'autres directives mondiales, permettant ainsi aux équipes d'évaluer l'exhaustivité, la cohérence et la facilité d'utilisation des données SBOM avant leur soumission ou leur partage. Elle surveille également en permanence les composants des SBOM par rapport à de multiples sources d'informations sur les vulnérabilités, répondant ainsi aux exigences de conformité opérationnelle et post-commercialisation, telles que l'évaluation continue des risques et la réponse rapide aux vulnérabilités nouvellement divulguées. De plus, Keysight SBOM Manager prend en charge la gestion structurée du contexte des vulnérabilités via VEX, le partage contrôlé et traçable des SBOM, ainsi que la gestion des versions entre les différentes versions de produit. En combinant validation de la qualité, surveillance continue et traçabilité tout au long du cycle de vie, la plateforme permet aux organisations de passer d'un reporting de conformité ponctuel à un processus de conformité reproductible et prêt pour l'audit, conforme à des réglementations telles que les directives de la FDA, la loi européenne sur la cyber-résilience, la norme PCI DSS et les exigences du CERT-In.

Vulnerability Exploitability eXchange (VEX) est un moyen normalisé permettant aux éditeurs de logiciels d'indiquer si une vulnérabilité connue (CVE) affecte réellement leur produit et, le cas échéant, dans quelles conditions. Si les SBOM répertorient tous les composants et leurs vulnérabilités potentielles, elles ne fournissent toutefois aucune information sur l'exploitabilité. Cela conduit souvent à un volume important de CVE signalées, dont beaucoup peuvent ne pas être pertinentes dans une configuration de produit donnée. VEX comble cette lacune en permettant aux fournisseurs de déclarer si une vulnérabilité n'affecte pas, affecte, a été corrigée ou fait l'objet d'une enquête, en fournissant une justification à l'appui. Ce contexte est essentiel pour la conformité réglementaire, la communication avec les clients et la hiérarchisation efficace des vulnérabilités. Keysight SBOM Manager permet une gestion VEX évolutive et axée sur le cycle de vie en intégrant étroitement VEX aux données SBOM. Il prend en charge à la fois la génération et l'importation de documents VEX, permettant ainsi aux organisations de créer leurs propres déclarations VEX et d'intégrer les données VEX provenant de fournisseurs et de tiers. La plateforme assure la synchronisation entre les mises à jour de la SBOM et le statut des vulnérabilités pour l'ensemble des produits et des versions, garantissant ainsi la cohérence au fil du temps. Elle met en corrélation en continu les composants de la SBOM avec des informations sur les vulnérabilités provenant de sources multiples afin d'identifier les CVE nouvellement divulguées et aide les équipes à évaluer et à attribuer efficacement le statut d'exploitabilité. En combinant VEX avec un filtrage et une hiérarchisation intelligents des vulnérabilités, Keysight réduit le bruit lié aux CVE et aide les équipes de sécurité à se concentrer sur les risques exploitables. De plus, les documents VEX peuvent être partagés en toute sécurité avec les clients, les partenaires et les régulateurs, parallèlement aux SBOM, grâce à des mécanismes de distribution contrôlés et versionnés, ce qui améliore la transparence, la confiance et la conformité tout au long du cycle de vie de la chaîne d'approvisionnement logicielle.

Keysight SBOM Manager réduit la surcharge de vulnérabilités en s'attaquant aux causes profondes du bruit dans l'analyse basée sur la SBOM, à savoir les mappages de vulnérabilités inexacts, les sources de données incomplètes et l'absence de contexte d'exploitabilité. De nombreux outils s'appuient fortement sur une seule source, telle que la National Vulnerability Database (NVD), et utilisent une mise en correspondance automatisée basée sur les CPE, ce qui peut entraîner à la fois des faux positifs et des faux négatifs en raison de mappages manquants, trop généraux ou incorrects. Keysight surmonte ce problème en corrélant les composants SBOM avec de multiples sources d'informations sur les vulnérabilités et les menaces, y compris des sources faisant autorité telles que les avis des fournisseurs et les référentiels gérés par les projets, et en les hiérarchisant lorsque des divergences apparaissent. Cela permet à la plateforme d'identifier les incohérences dans les données de vulnérabilité et d'améliorer considérablement la précision. De plus, Keysight SBOM Manager effectue une analyse précise au niveau des versions et des correctifs, garantissant que les vulnérabilités déjà corrigées dans une version spécifique d'un composant sont automatiquement exclues. Cela évite le problème courant où les outils signalent des vulnérabilités en se basant uniquement sur les versions de base sans tenir compte des correctifs appliqués. Pour une réduction plus poussée du bruit, la plateforme applique une approche pragmatique et automatisée de l'exploitabilité. Pour certains composants, il effectue une analyse avancée de l'accessibilité CVE afin de déterminer si du code vulnérable est réellement présent ou utilisé dans le produit. Sur la base de cette analyse, il peut générer automatiquement des déclarations VEX (Vulnerability Exploitability eXchange), par exemple en marquant les vulnérabilités comme « Non affectées » lorsque le code concerné n'est pas inclus. En combinant des informations provenant de sources multiples, une validation faisant autorité, une analyse tenant compte des correctifs, une évaluation sélective de l'accessibilité et la génération automatisée de déclarations VEX, Keysight SBOM Manager réduit considérablement les faux positifs et les faux négatifs. Il en résulte une vue ciblée et exploitable des vulnérabilités qui aide les équipes de sécurité à hiérarchiser les risques réels, à réduire les efforts d'investigation manuelle et à répondre plus efficacement aux exigences de sécurité et de conformité.

Keysight SBOM Manager permet aux utilisateurs de SBOM et aux propriétaires d'actifs d'aller au-delà des SBOM statiques et de les transformer en renseignements opérationnels en matière de sécurité qui correspondent directement à leurs environnements réels. De nombreuses organisations manquent aujourd'hui de visibilité sur les SBOM ou les traitent comme des documents statiques sans lien avec les flux de vulnérabilités ou les inventaires d'actifs, ce qui limite leur valeur pratique. Keysight répond à ce problème en fournissant une plateforme centralisée permettant d’ingérer les SBOM fournies par les fournisseurs, de générer des SBOM indépendamment des binaires et de comparer les deux pour valider l’exactitude et détecter les composants cachés ou manquants, soutenant ainsi une approche « faire confiance mais vérifier ». La plateforme enrichit ensuite les données SBOM grâce à des informations sur les vulnérabilités provenant de sources multiples et à une surveillance continue, garantissant que les vulnérabilités nouvellement divulguées sont automatiquement corrélées avec tous les composants connus. Contrairement aux workflows traditionnels qui s’appuient sur les avis des fournisseurs et des investigations manuelles — pouvant prendre des semaines, voire des mois —, Keysight permet une détection des expositions en temps réel, identifiant les composants et les actifs affectés en quelques secondes après la divulgation d’un nouveau CVE. L’un de ses principaux atouts réside dans sa capacité à mapper les données SBOM aux actifs réellement déployés, en s’intégrant aux systèmes d’inventaire et de découverte des actifs pour fournir un contexte complet, tel que l’emplacement, la propriété et le niveau de criticité des actifs. Cela permet aux organisations de répondre instantanément à des questions cruciales : Sommes-nous affectés ? Quels actifs ? Où se trouvent-ils ? Quel est leur niveau de criticité ? Keysight SBOM Manager intègre également l'ingestion et la gestion VEX, permettant aux utilisateurs d'appliquer le contexte d'exploitabilité fourni par les fournisseurs et d'affiner les évaluations de risque initiales au fil du temps. Associé au triage automatisé des vulnérabilités, à la hiérarchisation intelligente et aux alertes contextuelles, cela réduit considérablement l'effort manuel et améliore la prise de décision. En réunissant l'ingestion et la génération de SBOM, la surveillance continue des vulnérabilités, la corrélation au niveau des actifs et le contexte basé sur les VEX, Keysight SBOM Manager permet aux propriétaires d'actifs de passer d'une analyse réactive et différée à une visibilité immédiate, précise et exploitable des risques. Il en résulte une réponse plus rapide aux incidents, une résilience opérationnelle améliorée et une meilleure conformité aux réglementations telles que NIS2 et IEC 62443.

Keysight SBOM Manager offre un accès centralisé et basé sur les rôles, ainsi que des mécanismes de distribution contrôlée pour le partage des listes de composants (SBOM) et des documents VEX. Il garantit le contrôle des versions, la traçabilité et un accès sécurisé, éliminant ainsi le besoin de transferts manuels de fichiers et permettant aux entreprises de répondre à la fois aux exigences réglementaires et aux attentes des clients en matière de transparence.