是德科技 SBOM Manager 实现软件供应链安全的全生命周期 SBOM 可视化

是德科技 SBOM Manager 与许多 SBOM 工具不同，它将正在申请专利的二进制 SBOM 生成功能与验证、数据增强、持续监控、可扩展的 VEX 管理以及安全共享整合于单一平台。与主要依赖源代码或构建系统数据的工具不同，它通过分析二进制文件、固件和编译后的软件，来发现那些可能被忽略的开源、专有及深度嵌入的组件。 该工具还通过使输出结果符合 FDA 指南、欧盟《网络弹性法案》及 CERT-In 要求等框架的最低要素标准，从而提升 SBOM 质量并增强合规准备度。此外，尽管某些工具声称能够进行全面的 CVE 可达性分析，但此类方法在实践中往往难以得出确切结论。 是德科技 SBOM Manager 采用更务实可靠的方法，通过结合多源漏洞关联分析、对明显无关 CVE 的智能过滤以及可扩展的 VEX 生成，提供真实的可利用性上下文。这使组织能够优先处理可采取行动的风险，而无需依赖不确定的可达性声明。对于生产商和消费者而言，该平台提供生命周期管理、资产级可视性和持续监控，将 SBOM 从静态合规文档转变为可操作的安全情报。

是的，通过进阶 分析，即使没有源代码也能生成 SBOM。是德科技 SBOM Manager 采用正在申请专利的技术来分析编译后的二进制文件、固件和容器，从而能够检测到基于源代码的工具通常会遗漏的嵌入式组件。对于分析第三方软件、静态链接库、遗留系统以及无法获取源代码的闭源环境而言，这种方法尤为重要。

是德科技 SBOM Manager 通过分析实际交付和部署的二进制文件、固件及编译后的软件，而非仅依赖源代码、包清单或构建时生成文件，从而提高了 SBOM 的准确性和覆盖范围。这一点至关重要，因为许多软件产品包含静态链接库、原生代码、专有模块、第三方组件以及深度嵌入的依赖项，而基于源代码的工具往往会遗漏或误识别这些内容。 通过采用正在申请专利的二进制文件检测技术，是德科技能够识别开源、专有及闭源软件中更广泛的组件，帮助企业构建更能真实反映已交付产品内容的 SBOM。该技术还能通过更准确地识别组件名称和版本，并分配正确的标识符（包括 CPE 和 PURL），从而提高精度，支持更可靠的漏洞映射。 此外，Keysight SBOM Manager 还能对 SBOM 数据进行验证、标准化、修正和丰富，以提升其完整性和质量，并在可能的情况下包含依赖关系及必需的元数据。最终生成更高质量、更完整且更值得信赖的 SBOM，从而更好地支持漏洞管理、法规合规以及下游运营应用。

是德科技 SBOM Manager 通过确保 SBOM 不仅能够生成，还能符合行业和政府的要求，实现可衡量、可验证并持续维护，从而帮助企业满足不断变化的监管要求。 该平台内置了符合公认框架（如 NTIA 最低要素、BSI TR-03183 及其他全球指南）的 SBOM 质量评分和验证功能，使团队能够在提交或共享前评估 SBOM 数据的完整性、一致性和可用性。它还通过多个漏洞情报来源持续监控 SBOM 组件，支持上市后及运营合规要求，例如持续的风险评估以及对新披露漏洞的及时响应。 此外，Keysight SBOM Manager 支持通过 VEX 结构化处理漏洞上下文，实现受控且可追溯的 SBOM 共享，并支持跨产品版本的版本管理。通过整合质量验证、持续监控和生命周期可追溯性，该平台使组织能够从一次性合规报告转变为可重复、符合审计要求的合规流程，该流程符合 FDA 指南、欧盟《网络弹性法案》、PCI DSS 以及 CERT-In 要求等法规。

漏洞可利用性交换（VEX）是一种标准化机制，供软件厂商说明已知漏洞（CVE）是否实际影响其产品，以及若受影响，是在何种条件下发生的。虽然软件物料清单（SBOM）列出了所有组件及其潜在漏洞，但并未提供有关可利用性的背景信息。 这往往导致大量 CVE 报告涌现，其中许多在特定产品配置下可能并不相关。VEX 通过允许供应商声明漏洞是否“不受影响”、“受影响”、“已修复”或“正在调查”，并附上支持性说明，来填补这一空白。这些背景信息对于合规监管、客户沟通以及有效的漏洞优先级排序至关重要。是德科技 SBOM Manager 通过将 VEX 与 SBOM 数据紧密集成，实现了可扩展且基于生命周期的 VEX 管理。 该平台支持 VEX 文档的生成与导入，使组织既能创建自有 VEX 声明，也能整合来自供应商和第三方提供的 VEX 数据。平台在不同产品和版本间保持 SBOM 更新与漏洞状态的同步，确保数据随时间推移的一致性。它持续将 SBOM 组件与多源漏洞情报进行关联，以识别新披露的 CVE，并协助团队高效评估和分配可利用性状态。 通过将 VEX 与智能漏洞过滤和优先级排序相结合，是德科技减少了 CVE 噪音，帮助安全团队专注于可采取行动的风险。此外，VEX 文档可通过受控的、带版本号的分发机制与 SBOM 一起安全地共享给客户、合作伙伴和监管机构，从而提高软件供应链生命周期中的透明度、信任度和合规性。

是德科技 SBOM Manager 通过解决基于 SBOM 分析中的噪声根源——即不准确的漏洞映射、不完整的数据源以及缺乏可利用性上下文——从而减轻了漏洞过载问题。许多工具高度依赖单一数据源（如国家漏洞数据库 NVD），并采用基于 CPE 的自动化匹配，这可能会因映射缺失、范围过广或不正确而导致误报和漏报。 是德科技通过将 SBOM 组件与多个漏洞和威胁情报来源进行关联，包括供应商安全公告和项目维护的代码库等权威来源，并在出现不一致时优先处理这些来源，从而克服了这一问题。这使平台能够识别漏洞数据中的不一致之处，并显著提高准确性。 此外，是德科技 SBOM Manager 还能进行精确的版本和补丁级别分析，确保已修复的特定组件版本中的漏洞被自动排除。这避免了工具仅基于基础版本报告漏洞而忽略已应用补丁这一常见问题。为了进一步降低误报率，该平台采用务实且自动化的可利用性分析方法。 针对选定的组件，它会执行进阶 可达性分析，以确定产品中是否实际存在或使用了存在漏洞的代码。基于此分析，它可自动生成漏洞可利用性交换 (VEX) 声明，例如当相关代码未包含时，将漏洞标记为“不受影响”。 通过整合多源情报、权威验证、补丁感知分析、选择性可达性评估以及自动 VEX 生成功能，Keysight SBOM Manager 显著降低了误报和漏报率。其结果是提供了一个聚焦且可操作的漏洞视图，帮助安全团队优先处理真实风险、减少人工调查工作量，并更高效地响应安全与合规要求。

是德科技 SBOM Manager 使 SBOM 用户和资产所有者能够突破静态 SBOM 的局限，将其转化为与实际环境直接关联的运营安全情报。如今，许多组织要么缺乏对 SBOM 的可视性，要么将 SBOM 视为与漏洞数据源或资产清单脱节的静态文档，从而限制了其实际价值。 是德科技通过提供一个集中式平台来解决这一问题，该平台能够接收供应商提供的 SBOM、独立于二进制文件生成 SBOM，并对比两者以验证准确性并发现隐藏或缺失的组件——从而支持“信任但需验证”的方法。随后，该平台利用多源漏洞情报和持续监控来丰富 SBOM 数据，确保新披露的漏洞能自动与所有已知组件进行关联分析。 与依赖供应商安全通告和人工调查（可能耗时数周甚至数月）的传统工作流不同，是德科技能够实现实时风险暴露检测，在新CVE披露后的数秒内识别受影响的组件和资产。其关键差异化优势在于能够将SBOM数据映射到实际部署的资产上，通过与资产清单和发现系统集成，提供包括资产位置、所有权和关键性在内的完整上下文信息。这使组织能够即时回答关键问题：我们是否受到影响？哪些资产？ 它们位于何处？其关键性如何？是德科技 SBOM Manager 还集成了 VEX 数据采集与管理功能，使用户能够应用供应商提供的可利用性上下文信息，并随时间推移不断优化初始风险评估。结合自动漏洞分级、智能优先级排序和基于上下文的警报，这显著减少了人工工作量并提升了决策质量。 通过整合 SBOM 采集与生成、持续漏洞监控、资产级关联分析以及基于 VEX 的上下文信息，是德科技 SBOM Manager 使资产所有者能够从延迟的、被动式分析转变为即时、精准且可操作的风险可视化。这将带来更快的事件响应、更强的运营韧性，并更好地符合 NIS2 和 IEC 62443 等法规要求。

是德科技 SBOM Manager 提供集中化、基于角色的访问权限及受控分发机制，用于共享 SBOM 和 VEX 文档。它确保版本控制、可追溯性和安全访问，从而无需手动传输文件，并帮助企业同时满足监管要求和客户对透明度的期望。