Keysight SBOM 管理器 完整的生命週期 SBOM 可視性，以確保軟體供應鏈安全

Keysight SBOM 管理器透過將正在申請專利的二進位 SBOM 產生與驗證、豐富化、持續監控、可擴展的 VEX 管理和安全共享整合到單一平台中，使其與許多 SBOM 工具不同。與主要依賴原始碼或建置系統資料的工具不同，它分析二進位檔、韌體和編譯後的軟體，以揭示可能被遺漏的開源、專有和深度嵌入式元件。它還透過將輸出與 FDA 指南、歐盟網路韌性法案 (EU Cyber Resilience Act) 和 CERT-In 要求等框架的最低元素期望保持一致，從而提高 SBOM 品質和合規準備度。此外，儘管有些工具聲稱能進行完整的 CVE 可達性分析，但這些方法在實踐中往往沒有定論。Keysight SBOM 管理器採用更務實可靠的方法，結合多源漏洞關聯、明確無關 CVE 的智慧過濾以及可擴展的 VEX 產生，以提供真實的可利用性情境。這使組織能夠優先處理可操作的風險，而無需依賴不確定的可達性聲明。對於生產者和消費者而言，該平台提供生命週期管理、資產級別可見性和持續監控，將 SBOM 從靜態合規文件轉變為可操作的安全情報。

是的，使用進階二進位分析，可以在沒有原始碼的情況下產生 SBOM。Keysight SBOM 管理器採用正在申請專利的技術來分析編譯後的二進位檔、韌體和容器，從而能夠偵測到基於原始碼的工具經常遺漏的嵌入式元件。這種方法對於分析第三方軟體、靜態連結程式庫、舊版系統以及無法取得原始碼的閉源環境尤其重要。

Keysight SBOM 管理器透過分析實際交付和部署的二進位檔、韌體和編譯後的軟體，而不是僅依賴原始碼、套件清單或建置時的產物，來提高 SBOM 的準確性和涵蓋範圍。這至關重要，因為許多軟體產品包含靜態連結程式庫、原生程式碼、專有模組、第三方元件以及基於原始碼的工具經常遺漏或錯誤識別的深度嵌入式依賴項。Keysight 採用正在申請專利的二進位偵測技術，識別出開源、專有和閉源軟體中更廣泛的元件，協助組織建立更貼近實際出貨產品內容的 SBOM。它還透過更準確地識別元件名稱和版本，並分配正確的識別碼（包括 CPE 和 PURL），以支援更可靠的漏洞映射，從而提高精確度。此外，Keysight SBOM 管理器會驗證、標準化、修正和豐富 SBOM 資料，以提高完整性和品質，包括盡可能提供依賴關係和所需的後設資料。其結果是更高品質、更完整、更值得信賴的 SBOM，能更好地支援漏洞管理、法規遵循和下游操作使用。

Keysight SBOM Manager 協助組織滿足不斷變化的法規要求，確保 SBOM 不僅能產生，還能根據產業和政府的期望進行衡量、驗證和持續維護。該平台包含內建的 SBOM 品質評分和驗證功能，符合 NTIA 最低要素、BSI TR-03183 和其他全球指南等公認框架，使團隊能夠在提交或分享 SBOM 資料之前評估其完整性、一致性和可用性。它還持續監控 SBOM 元件與多個漏洞情報來源的對比，支援上市後和營運法規遵循要求，例如持續風險評估和及時回應新披露的漏洞。此外，Keysight SBOM Manager 透過 VEX 支援漏洞情境的結構化處理、受控且可追溯的 SBOM 分享，以及跨產品發行的版本管理。透過結合品質驗證、持續監控和生命週期可追溯性，該平台使組織能夠從一次性法規遵循報告轉變為可重複、稽核就緒的法規遵循流程，符合 FDA 指南、歐盟網路韌性法案、PCI DSS 和 CERT-In 要求等法規。

漏洞可利用性交換 (VEX) 是一種標準化的方式，供軟體生產商溝通已知漏洞 (CVE) 是否實際影響其產品，以及如果影響，是在什麼條件下。雖然 SBOM 列出所有元件及其潛在漏洞，但它們不提供有關可利用性的情境。這通常導致大量報告的 CVE，其中許多在特定產品配置中可能不相關。VEX 透過允許供應商聲明漏洞是否不受影響、受影響、已修復或正在調查中，並提供支援理由來彌補這一差距。這種情境對於法規遵循、客戶溝通和有效的漏洞優先排序至關重要。Keysight SBOM Manager 透過將 VEX 與 SBOM 資料緊密整合，實現可擴展且生命週期驅動的 VEX 管理。它支援 VEX 文件的產生和匯入，使組織能夠建立自己的 VEX 聲明，並從供應商和第三方攝取 VEX 資料。該平台在產品和版本之間保持 SBOM 更新與漏洞狀態的同步，確保隨著時間推移的一致性。它持續將 SBOM 元件與多來源漏洞情報關聯，以識別新披露的 CVE，並協助團隊有效評估和分配可利用性狀態。透過將 VEX 與智慧漏洞篩選和優先排序結合，Keysight 減少了 CVE 雜訊，並協助安全團隊專注於可操作的風險。此外，VEX 文件可以透過受控、版本化的分發機制與 SBOM 一起安全地分享給客戶、合作夥伴和監管機構，從而提高軟體供應鏈生命週期中的透明度、信任和法規遵循。

Keysight SBOM Manager 透過解決基於 SBOM 分析中雜訊的根本原因來減少漏洞過載 — 亦即不準確的漏洞映射、不完整的資料來源以及缺乏可利用性情境。許多工具嚴重依賴單一來源，例如國家漏洞資料庫 (NVD)，並使用自動化的 CPE 式匹配，這可能由於遺漏、過於寬泛或不正確的映射而導致誤報和漏報。Keysight 透過將 SBOM 元件與多個漏洞和威脅情報來源關聯來克服這一點，包括供應商建議和專案維護儲存庫等權威來源，並在出現差異時優先處理這些來源。這使得平台能夠識別漏洞資料中的不一致性，並顯著提高準確性。此外，Keysight SBOM Manager 執行精確的版本和修補程式層級分析，確保特定元件版本中已修復的漏洞會自動排除。這避免了工具僅根據基礎版本報告漏洞而未考慮已應用修補程式的常見問題。為了更深入地減少雜訊，該平台對可利用性採用務實且自動化的方法。對於選定的元件，它執行進階 CVE 可達性分析，以確定產品中是否存在或使用了易受攻擊的程式碼。根據此分析，它可以自動產生漏洞可利用性交換 (VEX) 聲明，例如在不包含相關程式碼時將漏洞標記為「不受影響」。透過結合多來源情報、權威驗證、修補程式感知分析、選擇性可達性評估和自動化 VEX 產生，Keysight SBOM Manager 大幅減少了誤報和漏報。結果是一個集中、可操作的漏洞視圖，可協助安全團隊優先處理實際風險、減少手動調查工作，並更有效地回應安全和法規遵循要求。

Keysight SBOM Manager 使 SBOM 消費者和資產所有者能夠超越靜態 SBOM，將其轉變為直接映射到其真實世界環境的營運安全情報。現今許多組織要麼缺乏 SBOM 可視性，要麼將 SBOM 視為未連接到漏洞資訊源或資產清單的靜態文件，從而限制了其實際價值。Keysight 透過提供一個集中式平台來解決此問題，該平台可攝取供應商提供的 SBOM、獨立於二進位檔產生 SBOM，並比較兩者以驗證準確性並揭示隱藏或遺失的元件 — 支援「信任但驗證」的方法。該平台隨後利用多來源漏洞情報和持續監控來豐富 SBOM 資料，確保新披露的漏洞會自動與所有已知元件關聯。與依賴供應商建議和手動調查（可能需要數週或數月）的傳統工作流程不同，Keysight 實現了即時暴露偵測，在新的 CVE 披露後數秒內識別受影響的元件和資產。一個關鍵的差異化優勢是它能夠將 SBOM 資料映射到實際部署的資產，與資產清單和發現系統整合，以提供完整的上下文，例如資產位置、所有權和關鍵性。這使組織能夠即時回答關鍵問題：我們是否受影響？哪些資產？它們位於何處？它們有多關鍵？Keysight SBOM Manager 還整合了 VEX 攝取和管理，使消費者能夠應用供應商提供的可利用性情境，並隨著時間的推移完善初始風險評估。結合自動化漏洞分類、智慧優先排序和情境警報，這顯著減少了手動工作並改進了決策。透過整合 SBOM 攝取和產生、持續漏洞監控、資產層級關聯以及 VEX 驅動的情境，Keysight SBOM Manager 使資產所有者能夠從延遲、被動的分析轉變為即時、精確且可操作的風險可視性。這帶來了更快的事件回應、改進的營運韌性，以及更強大的法規遵循，例如 NIS2 和 IEC 62443。

Keysight SBOM Manager 提供集中式、基於角色的存取和受控分發機制，用於分享 SBOM 和 VEX 文件。它確保版本控制、可追溯性和安全存取，消除了手動檔案傳輸的需求，並使組織能夠滿足監管期望和客戶對透明度的要求。