- 概述
- 所有型号
- 支持
端到端的软件供应链透明度与安全性
是德科技 SBOM Manager 是一款企业级平台,可在复杂的开发、集成和运营环境中提供软件全生命周期的透明度与风险洞察。它将二进制级 SBOM 生成与验证、数据增强、共享及持续监控相结合,提供端到端的软件物料清单 (SBOM) 可视化、验证和安全情报。 通过由 SBOM Generator、SBOM Studio 和 SBOM Consumer 组成的统一生态系统,该平台使组织能够生成高度准确的基于二进制的 SBOM,对其进行集中管理和分发,并持续评估软件供应链风险。 SBOM Manager 专为各类利益相关者设计,包括产品团队、系统集成商、安全运维及合规部门。该平台可自动追踪开源、专有及第三方组件,同时提供漏洞关联分析、版本追踪和合规报告功能。这使企业能够检测不安全的依赖项、执行安全策略、快速响应新兴威胁并保持审计就绪状态,从而最终增强软件供应链的整体安全态势。
基于二进制文件的精准 SBOM 生成
直接从二进制文件、固件和操作系统镜像生成高保真 SBOM,识别其中的开源、专有及深度嵌入式组件,真实反映交付给客户的软件内容。
基于上下文的漏洞关联与优先级排序
将 SBOM 组件与多个漏洞来源进行关联,并通过智能过滤来减少冗余信息,从而帮助团队专注于相关且可被利用的风险,而非面对令人应接不暇的 CVE 列表。
符合合规要求的 SBOM 和 VEX 生命周期管理
提供经过验证、高质量的软件物料清单(SBOM),符合美国食品药品监督管理局(FDA)、欧盟CRA、CERT-In及其他框架的最低要素要求,并具备可扩展的VEX生成功能和受控共享机制,以满足审计准备需求。
通过资产级可视化实现持续监控
持续追踪新出现的漏洞,并将软件物料清单(SBOM)与已部署的资产进行关联,从而实时洞察风险所在,并实现更快、更有效的修复。
最受欢迎的配置
软件材料清单生成器
利用进阶 分析技术,从二进制文件、固件和容器中生成高保真度的软件物料清单(SBOM)——无需源代码。
利用进阶 分析技术,从二进制文件、固件和容器中生成高保真度的软件物料清单(SBOM)——无需源代码。
SBOM工作室
帮助数字产品制造商在整个产品生命周期内集中管理软件物料清单(SBOM),以实现漏洞追踪和合规管理。
帮助数字产品制造商在整个产品生命周期内集中管理软件物料清单(SBOM),以实现漏洞追踪和合规管理。
SBOM 消费者
帮助数字产品采购方验证并持续监控供应商的物料清单(SBOM),同时提供实时漏洞追踪和风险暴露检测功能。
帮助数字产品采购方验证并持续监控供应商的物料清单(SBOM),同时提供实时漏洞追踪和风险暴露检测功能。
线上研讨会:将软件物料清单(SBOM)转化为医疗保健领域的实际风险降低措施
了解如何利用自动化工作流streamline 对美国FDA、澳大利亚TGA、欧盟MDR/IVDR以及IMDRF等全球监管框架streamline 。深入探讨监管要求及实用技巧,以创建更全面的软件材料清单(SBOM),从而在产品生命周期各阶段识别、优先处理并通报安全漏洞。您还将了解到,医疗保健提供者如何利用SBOM来优化采购决策、提升资产可视性并实施主动风险管理——从而为合规性和实际应用中的安全性奠定更坚实的基础。
欧洲、中东、非洲
2026年6月30日 上午10:00(中欧夏令时)
美洲
2026年7月14日 上午10:00(太平洋夏令时)
线上研讨会:为欧盟《网络弹性法案》(CRA)做好准备
在本期线上研讨会了解如何利用自动化工作流为CRA做好准备。探索如何简化SBOM的生成、验证、漏洞监控以及符合CRA要求的报告工作。参加本次线上研讨会后,您将明确后续行动步骤,并为CRA合规奠定更坚实的基础。
英语点播
现已上市
- 如何确保软件物料清单(SBOM)的准确性、质量和合规性
- 如何生成和验证准确的SBOM
最佳 SBOM 解决方案应具备哪些功能
软件物料清单(SBOM)已成为现代网络安全和软件供应链管理中最重要的工具之一。通过列出构成某款软件或设备的组件,SBOM 提供了评估漏洞、确保合规性以及在整个产品生命周期内维护信任所需的可视性。
距离欧盟《信用报告法》合规还有一年——2026年9月11日,一切将发生改变
大多数组织认为,他们有时间在2027年12月11日之前遵守《欧盟网络弹性法案》(CRA)。这种想法是极其错误的。真正的首个截止日期是2026年9月11日,也就是从今天起正好一年后。
卫星、航天器及国防系统依赖于复杂的软件生态系统,这些系统通常由开源组件、第三方组件和遗留组件构成。近期发生的事件再次提醒我们,追踪、保障和管理这一软件供应链是多么重要。
软件物料清单(SBOM)如何帮助企业应对全球网络安全法规
“软件成分清单(SBOM)是基础 系统安全风险基础 包括软件成分管理和供应链风险管理。能够实现系统组件可视化并支持漏洞影响分析的解决方案,在加强组织网络安全工作方面具有巨大潜力。”
日立工业与控制解决方案
岛崎直树
软件定义解决方案总监
体验是德科技的独特之处
常见问题解答
是德科技 SBOM Manager 与许多 SBOM 工具不同,它将正在申请专利的二进制 SBOM 生成功能与验证、数据增强、持续监控、可扩展的 VEX 管理以及安全共享整合于单一平台。与主要依赖源代码或构建系统数据的工具不同,它通过分析二进制文件、固件和编译后的软件,来发现那些可能被忽略的开源、专有及深度嵌入的组件。 该工具还通过使输出结果符合 FDA 指南、欧盟《网络弹性法案》及 CERT-In 要求等框架的最低要素标准,从而提升 SBOM 质量并增强合规准备度。此外,尽管某些工具声称能够进行全面的 CVE 可达性分析,但此类方法在实践中往往难以得出确切结论。 是德科技 SBOM Manager 采用更务实可靠的方法,通过结合多源漏洞关联分析、对明显无关 CVE 的智能过滤以及可扩展的 VEX 生成,提供真实的可利用性上下文。这使组织能够优先处理可采取行动的风险,而无需依赖不确定的可达性声明。对于生产商和消费者而言,该平台提供生命周期管理、资产级可视性和持续监控,将 SBOM 从静态合规文档转变为可操作的安全情报。
是的,通过进阶 分析,即使没有源代码也能生成 SBOM。是德科技 SBOM Manager 采用正在申请专利的技术来分析编译后的二进制文件、固件和容器,从而能够检测到基于源代码的工具通常会遗漏的嵌入式组件。对于分析第三方软件、静态链接库、遗留系统以及无法获取源代码的闭源环境而言,这种方法尤为重要。
是德科技 SBOM Manager 通过分析实际交付和部署的二进制文件、固件及编译后的软件,而非仅依赖源代码、包清单或构建时生成文件,从而提高了 SBOM 的准确性和覆盖范围。这一点至关重要,因为许多软件产品包含静态链接库、原生代码、专有模块、第三方组件以及深度嵌入的依赖项,而基于源代码的工具往往会遗漏或误识别这些内容。 通过采用正在申请专利的二进制文件检测技术,是德科技能够识别开源、专有及闭源软件中更广泛的组件,帮助企业构建更能真实反映已交付产品内容的 SBOM。该技术还能通过更准确地识别组件名称和版本,并分配正确的标识符(包括 CPE 和 PURL),从而提高精度,支持更可靠的漏洞映射。 此外,Keysight SBOM Manager 还能对 SBOM 数据进行验证、标准化、修正和丰富,以提升其完整性和质量,并在可能的情况下包含依赖关系及必需的元数据。最终生成更高质量、更完整且更值得信赖的 SBOM,从而更好地支持漏洞管理、法规合规以及下游运营应用。
是德科技 SBOM Manager 通过确保 SBOM 不仅能够生成,还能符合行业和政府的要求,实现可衡量、可验证并持续维护,从而帮助企业满足不断变化的监管要求。 该平台内置了符合公认框架(如 NTIA 最低要素、BSI TR-03183 及其他全球指南)的 SBOM 质量评分和验证功能,使团队能够在提交或共享前评估 SBOM 数据的完整性、一致性和可用性。它还通过多个漏洞情报来源持续监控 SBOM 组件,支持上市后及运营合规要求,例如持续的风险评估以及对新披露漏洞的及时响应。 此外,Keysight SBOM Manager 支持通过 VEX 结构化处理漏洞上下文,实现受控且可追溯的 SBOM 共享,并支持跨产品版本的版本管理。通过整合质量验证、持续监控和生命周期可追溯性,该平台使组织能够从一次性合规报告转变为可重复、符合审计要求的合规流程,该流程符合 FDA 指南、欧盟《网络弹性法案》、PCI DSS 以及 CERT-In 要求等法规。
漏洞可利用性交换(VEX)是一种标准化机制,供软件厂商说明已知漏洞(CVE)是否实际影响其产品,以及若受影响,是在何种条件下发生的。虽然软件物料清单(SBOM)列出了所有组件及其潜在漏洞,但并未提供有关可利用性的背景信息。 这往往导致大量 CVE 报告涌现,其中许多在特定产品配置下可能并不相关。VEX 通过允许供应商声明漏洞是否“不受影响”、“受影响”、“已修复”或“正在调查”,并附上支持性说明,来填补这一空白。这些背景信息对于合规监管、客户沟通以及有效的漏洞优先级排序至关重要。是德科技 SBOM Manager 通过将 VEX 与 SBOM 数据紧密集成,实现了可扩展且基于生命周期的 VEX 管理。 该平台支持 VEX 文档的生成与导入,使组织既能创建自有 VEX 声明,也能整合来自供应商和第三方提供的 VEX 数据。平台在不同产品和版本间保持 SBOM 更新与漏洞状态的同步,确保数据随时间推移的一致性。它持续将 SBOM 组件与多源漏洞情报进行关联,以识别新披露的 CVE,并协助团队高效评估和分配可利用性状态。 通过将 VEX 与智能漏洞过滤和优先级排序相结合,是德科技减少了 CVE 噪音,帮助安全团队专注于可采取行动的风险。此外,VEX 文档可通过受控的、带版本号的分发机制与 SBOM 一起安全地共享给客户、合作伙伴和监管机构,从而提高软件供应链生命周期中的透明度、信任度和合规性。
是德科技 SBOM Manager 通过解决基于 SBOM 分析中的噪声根源——即不准确的漏洞映射、不完整的数据源以及缺乏可利用性上下文——从而减轻了漏洞过载问题。许多工具高度依赖单一数据源(如国家漏洞数据库 NVD),并采用基于 CPE 的自动化匹配,这可能会因映射缺失、范围过广或不正确而导致误报和漏报。 是德科技通过将 SBOM 组件与多个漏洞和威胁情报来源进行关联,包括供应商安全公告和项目维护的代码库等权威来源,并在出现不一致时优先处理这些来源,从而克服了这一问题。这使平台能够识别漏洞数据中的不一致之处,并显著提高准确性。 此外,是德科技 SBOM Manager 还能进行精确的版本和补丁级别分析,确保已修复的特定组件版本中的漏洞被自动排除。这避免了工具仅基于基础版本报告漏洞而忽略已应用补丁这一常见问题。为了进一步降低误报率,该平台采用务实且自动化的可利用性分析方法。 针对选定的组件,它会执行进阶 可达性分析,以确定产品中是否实际存在或使用了存在漏洞的代码。基于此分析,它可自动生成漏洞可利用性交换 (VEX) 声明,例如当相关代码未包含时,将漏洞标记为“不受影响”。 通过整合多源情报、权威验证、补丁感知分析、选择性可达性评估以及自动 VEX 生成功能,Keysight SBOM Manager 显著降低了误报和漏报率。其结果是提供了一个聚焦且可操作的漏洞视图,帮助安全团队优先处理真实风险、减少人工调查工作量,并更高效地响应安全与合规要求。
是德科技 SBOM Manager 使 SBOM 用户和资产所有者能够突破静态 SBOM 的局限,将其转化为与实际环境直接关联的运营安全情报。如今,许多组织要么缺乏对 SBOM 的可视性,要么将 SBOM 视为与漏洞数据源或资产清单脱节的静态文档,从而限制了其实际价值。 是德科技通过提供一个集中式平台来解决这一问题,该平台能够接收供应商提供的 SBOM、独立于二进制文件生成 SBOM,并对比两者以验证准确性并发现隐藏或缺失的组件——从而支持“信任但需验证”的方法。随后,该平台利用多源漏洞情报和持续监控来丰富 SBOM 数据,确保新披露的漏洞能自动与所有已知组件进行关联分析。 与依赖供应商安全通告和人工调查(可能耗时数周甚至数月)的传统工作流不同,是德科技能够实现实时风险暴露检测,在新CVE披露后的数秒内识别受影响的组件和资产。其关键差异化优势在于能够将SBOM数据映射到实际部署的资产上,通过与资产清单和发现系统集成,提供包括资产位置、所有权和关键性在内的完整上下文信息。这使组织能够即时回答关键问题:我们是否受到影响?哪些资产? 它们位于何处?其关键性如何?是德科技 SBOM Manager 还集成了 VEX 数据采集与管理功能,使用户能够应用供应商提供的可利用性上下文信息,并随时间推移不断优化初始风险评估。结合自动漏洞分级、智能优先级排序和基于上下文的警报,这显著减少了人工工作量并提升了决策质量。 通过整合 SBOM 采集与生成、持续漏洞监控、资产级关联分析以及基于 VEX 的上下文信息,是德科技 SBOM Manager 使资产所有者能够从延迟的、被动式分析转变为即时、精准且可操作的风险可视化。这将带来更快的事件响应、更强的运营韧性,并更好地符合 NIS2 和 IEC 62443 等法规要求。
是德科技 SBOM Manager 提供集中化、基于角色的访问权限及受控分发机制,用于共享 SBOM 和 VEX 文档。它确保版本控制、可追溯性和安全访问,从而无需手动传输文件,并帮助企业同时满足监管要求和客户对透明度的期望。