Keysight SBOM Manager Visibilità completa dell'SBOM per tutta la durata del ciclo di vita, a garanzia di una catena di fornitura del software sicura

Keysight SBOM Manager si distingue da molti altri strumenti SBOM in quanto combina, in un’unica piattaforma, la generazione di SBOM binari (in attesa di brevetto) con la convalida, l’arricchimento, il monitoraggio continuo, la gestione scalabile dei VEX e la condivisione sicura. A differenza degli strumenti che si basano principalmente sul codice sorgente o sui dati dei sistemi di compilazione, analizza file binari, firmware e software compilato per individuare componenti open source, proprietari e profondamente integrati che altrimenti potrebbero sfuggire. Migliora inoltre la qualità dell'SBOM e la preparazione alla conformità allineando i risultati alle aspettative minime in termini di elementi previste da framework quali le linee guida della FDA, il Cyber Resilience Act dell'UE e i requisiti del CERT-In. Inoltre, mentre alcuni strumenti dichiarano di effettuare un'analisi completa della raggiungibilità CVE, tali approcci sono spesso inconcludenti nella pratica. Keysight SBOM Manager adotta un approccio più pragmatico e affidabile combinando la correlazione delle vulnerabilità da più fonti, il filtraggio intelligente dei CVE chiaramente irrilevanti e la generazione scalabile di VEX per fornire un contesto di sfruttabilità reale. Ciò consente alle organizzazioni di dare priorità ai rischi gestibili senza fare affidamento su affermazioni incerte relative alla raggiungibilità. Sia per i produttori che per i consumatori, la piattaforma offre gestione del ciclo di vita, visibilità a livello di asset e monitoraggio continuo, trasformando gli SBOM da documenti di conformità statici in informazioni di sicurezza utilizzabili.

Sì, gli SBOM possono essere generati senza codice sorgente utilizzando tecniche avanzate di analisi binaria. Keysight SBOM Manager impiega tecniche in attesa di brevetto per analizzare file binari compilati, firmware e container, consentendo di individuare componenti incorporati che gli strumenti basati sul codice sorgente spesso non rilevano. Questo approccio è particolarmente importante per l'analisi di software di terze parti, librerie collegate staticamente, sistemi legacy e ambienti closed-source in cui il codice sorgente non è disponibile.

Keysight SBOM Manager migliora l'accuratezza e la copertura dell'SBOM analizzando i file binari, il firmware e il software compilato effettivamente forniti e distribuiti, anziché basarsi esclusivamente sul codice sorgente, sui manifest dei pacchetti o sugli artefatti di compilazione. Ciò è fondamentale poiché molti prodotti software contengono librerie collegate staticamente, codice nativo, moduli proprietari, componenti di terze parti e dipendenze profondamente integrate che gli strumenti basati sul codice sorgente spesso non rilevano o identificano erroneamente. Utilizzando una tecnologia di rilevamento dei file binari in attesa di brevetto, Keysight identifica una gamma più ampia di componenti tra software open-source, proprietario e closed-source, aiutando le organizzazioni a creare SBOM che riflettono più fedelmente il contenuto reale del prodotto spedito. Migliora inoltre la precisione identificando i nomi e le versioni dei componenti in modo più accurato e assegnando gli identificatori corretti, inclusi CPE e PURL, per supportare una mappatura delle vulnerabilità più affidabile. Inoltre, Keysight SBOM Manager convalida, normalizza, corregge e arricchisce i dati SBOM per migliorarne la completezza e la qualità, incluse le relazioni di dipendenza e i metadati richiesti, ove possibile. Il risultato è un SBOM di qualità superiore, più completo e più affidabile che supporta meglio la gestione delle vulnerabilità, la conformità normativa e l'utilizzo operativo a valle.

Keysight SBOM Manager aiuta le organizzazioni a soddisfare i requisiti normativi in continua evoluzione, garantendo che gli SBOM non solo vengano generati, ma siano anche misurabili, verificabili e costantemente aggiornati in linea con le aspettative del settore e delle autorità governative. La piattaforma include funzionalità integrate di valutazione della qualità e convalida degli SBOM allineate a framework riconosciuti come gli elementi minimi NTIA, BSI TR-03183 e altre linee guida globali, consentendo ai team di valutare la completezza, la coerenza e l'usabilità dei dati SBOM prima dell'invio o della condivisione. Inoltre, monitora continuamente i componenti SBOM rispetto a molteplici fonti di intelligence sulle vulnerabilità, supportando i requisiti di conformità post-commercializzazione e operativi, come la valutazione continua dei rischi e la risposta tempestiva alle vulnerabilità appena divulgate. Inoltre, Keysight SBOM Manager supporta la gestione strutturata del contesto delle vulnerabilità tramite VEX, la condivisione controllata e tracciabile degli SBOM e la gestione delle versioni tra le diverse release di prodotto. Combinando la convalida della qualità, il monitoraggio continuo e la tracciabilità del ciclo di vita, la piattaforma consente alle organizzazioni di passare da una rendicontazione di conformità una tantum a un processo di conformità ripetibile e pronto per gli audit, allineato a normative quali le linee guida della FDA, il Cyber Resilience Act dell’UE, lo standard PCI DSS e i requisiti del CERT-In.

Vulnerability Exploitability eXchange (VEX) è uno standard che consente ai produttori di software di comunicare se una vulnerabilità nota (CVE) influisca effettivamente sul loro prodotto e, in tal caso, a quali condizioni. Sebbene gli SBOM elenchino tutti i componenti e le loro potenziali vulnerabilità, non forniscono informazioni sul grado di sfruttabilità. Ciò porta spesso a grandi volumi di CVE segnalate, molte delle quali potrebbero non essere rilevanti in una determinata configurazione del prodotto. VEX colma questa lacuna consentendo ai fornitori di dichiarare se una vulnerabilità non ha alcun impatto, ha un impatto, è stata risolta o è in fase di indagine, fornendo anche le relative giustificazioni. Questo contesto è fondamentale per la conformità normativa, la comunicazione con i clienti e un'efficace definizione delle priorità delle vulnerabilità. Keysight SBOM Manager consente una gestione VEX scalabile e basata sul ciclo di vita, integrando strettamente VEX con i dati SBOM. Supporta sia la generazione che l'importazione di documenti VEX, consentendo alle organizzazioni di creare le proprie dichiarazioni VEX e di acquisire dati VEX da fornitori e terze parti. La piattaforma mantiene la sincronizzazione tra gli aggiornamenti SBOM e lo stato delle vulnerabilità tra prodotti e versioni, garantendo la coerenza nel tempo. Correlando continuamente i componenti SBOM con le informazioni sulle vulnerabilità provenienti da più fonti, identifica i CVE appena divulgati e aiuta i team a valutare e assegnare in modo efficiente lo stato di sfruttabilità. Combinando VEX con il filtraggio e la prioritizzazione intelligenti delle vulnerabilità, Keysight riduce il rumore CVE e aiuta i team di sicurezza a concentrarsi sui rischi concreti. Inoltre, i documenti VEX possono essere condivisi in modo sicuro insieme agli SBOM con clienti, partner e autorità di regolamentazione attraverso meccanismi di distribuzione controllati e versionati, migliorando la trasparenza, la fiducia e la conformità lungo tutto il ciclo di vita della catena di fornitura del software.

Keysight SBOM Manager riduce il sovraccarico di vulnerabilità affrontando le cause alla radice del rumore nelle analisi basate su SBOM, ovvero mappature delle vulnerabilità imprecise, fonti di dati incomplete e mancanza di contesto relativo alla sfruttabilità. Molti strumenti si affidano in larga misura a un'unica fonte, come il National Vulnerability Database (NVD), e utilizzano un sistema di corrispondenza automatizzato basato su CPE, che può portare sia a falsi positivi che a falsi negativi a causa di mappature mancanti, eccessivamente generiche o errate. Keysight supera questo problema mettendo in correlazione i componenti SBOM con molteplici fonti di informazioni sulle vulnerabilità e sulle minacce, incluse fonti autorevoli come gli avvisi dei fornitori e i repository gestiti dai progetti, e dando priorità a queste ultime quando sorgono discrepanze. Ciò consente alla piattaforma di identificare le incongruenze nei dati sulle vulnerabilità e di migliorare significativamente l'accuratezza. Inoltre, Keysight SBOM Manager esegue un'analisi precisa a livello di versione e patch, garantendo che le vulnerabilità già risolte in una versione specifica del componente vengano automaticamente escluse. Ciò evita il problema comune in cui gli strumenti segnalano vulnerabilità basandosi solo sulle versioni di base senza considerare le patch applicate. Per una riduzione più approfondita del rumore, la piattaforma applica un approccio pragmatico e automatizzato alla sfruttabilità. Per i componenti selezionati, esegue un'analisi avanzata della raggiungibilità CVE per determinare se il codice vulnerabile è effettivamente presente o utilizzato nel prodotto. Sulla base di questa analisi, può generare automaticamente dichiarazioni Vulnerability Exploitability eXchange (VEX), ad esempio contrassegnando le vulnerabilità come "Non interessate" quando il codice pertinente non è incluso. Combinando informazioni provenienti da più fonti, convalida autorevole, analisi sensibile alle patch, valutazione selettiva della raggiungibilità e generazione automatizzata di VEX, Keysight SBOM Manager riduce drasticamente i falsi positivi e i falsi negativi. Il risultato è una visione delle vulnerabilità mirata e utilizzabile che aiuta i team di sicurezza a dare priorità ai rischi reali, a ridurre lo sforzo di indagine manuale e a rispondere in modo più efficiente ai requisiti di sicurezza e conformità.

Keysight SBOM Manager consente agli utenti degli SBOM e ai proprietari delle risorse di andare oltre gli SBOM statici e trasformarli in informazioni operative sulla sicurezza che si applicano direttamente ai loro ambienti reali. Oggi molte organizzazioni non dispongono di visibilità sugli SBOM oppure li trattano come documenti statici non collegati ai feed sulle vulnerabilità o agli inventari delle risorse, limitandone così il valore pratico. Keysight affronta questo problema fornendo una piattaforma centralizzata per acquisire gli SBOM forniti dai fornitori, generare SBOM indipendentemente dai file binari e confrontare i due per convalidarne l'accuratezza e scoprire componenti nascosti o mancanti, supportando un approccio "fidati ma verifica". La piattaforma arricchisce quindi i dati SBOM con informazioni sulle vulnerabilità provenienti da più fonti e un monitoraggio continuo, garantendo che le vulnerabilità appena divulgate vengano automaticamente correlate a tutti i componenti noti. A differenza dei flussi di lavoro tradizionali che si basano sugli avvisi dei fornitori e sulle indagini manuali – che possono richiedere settimane o mesi – Keysight consente il rilevamento delle esposizioni in tempo reale, identificando i componenti e le risorse interessati entro pochi secondi dalla divulgazione di un nuovo CVE. Un elemento chiave di differenziazione è la sua capacità di mappare i dati SBOM alle risorse effettivamente distribuite, integrandosi con i sistemi di inventario e individuazione delle risorse per fornire un contesto completo, come la posizione, la proprietà e la criticità delle risorse. Ciò consente alle organizzazioni di rispondere istantaneamente a domande critiche: siamo interessati? Quali risorse? Dove si trovano? Quanto sono critiche? Keysight SBOM Manager incorpora anche l'acquisizione e la gestione VEX, consentendo agli utenti di applicare il contesto di sfruttabilità fornito dai fornitori e di affinare le valutazioni iniziali del rischio nel tempo. In combinazione con la classificazione automatizzata delle vulnerabilità, la prioritizzazione intelligente e gli avvisi contestuali, ciò riduce significativamente lo sforzo manuale e migliora il processo decisionale. Unendo l'acquisizione e la generazione di SBOM, il monitoraggio continuo delle vulnerabilità, la correlazione a livello di asset e il contesto basato su VEX, Keysight SBOM Manager consente ai proprietari degli asset di passare da un'analisi ritardata e reattiva a una visibilità dei rischi immediata, precisa e utilizzabile. Ciò si traduce in una risposta più rapida agli incidenti, una maggiore resilienza operativa e una più solida conformità alle normative quali NIS2 e IEC 62443.

Keysight SBOM Manager offre un accesso centralizzato basato sui ruoli e meccanismi di distribuzione controllata per la condivisione di SBOM e documenti VEX. Garantisce il controllo delle versioni, la tracciabilità e un accesso sicuro, eliminando la necessità di trasferimenti manuali di file e consentendo alle organizzazioni di soddisfare sia le aspettative normative sia i requisiti dei clienti in materia di trasparenza.