SBOM 軟體物料清單分析服務

雷盾資安 SBOM 分析服務:由資安分析師以 Syft/Grype 產出 CycloneDX 1.6 軟體物料清單,比對 NVD 與 GitHub Advisory 已知漏洞、分析授權條款風險,交付繁體中文 PDF 報告。原始碼掃描後即刪除、絕不留存。

SBOM 分析流程

由雷盾資安分析師產出 CycloneDX 1.6 軟體物料清單並完成漏洞與授權風險分析的標準流程

  1. 提供原始碼:提供專案原始碼壓縮檔,建議附上相依鎖定檔(package-lock.json、poetry.lock 等;.NET 請附 packages.lock.json)
  2. SBOM 產出:分析師在隔離環境中產出 CycloneDX 1.6 軟體物料清單,全程不執行程式碼、不進行套件還原
  3. 漏洞與授權分析:比對 NVD 與 GitHub Advisory 資料庫標註已知漏洞,並對所有元件授權條款進行風險分級
  4. 風險評分與報告:計算 0–100 綜合風險評分,整理最嚴重漏洞清單與修補建議,產出繁體中文 PDF 報告與 CycloneDX JSON
  5. 原始碼刪除與複測:掃描完成後立即刪除原始碼;修補後可複測,報告將比較兩次掃描的元件與漏洞差異

常見問題

什麼是 SBOM?為什麼企業需要它?

SBOM(軟體物料清單)是列出軟體中所有開源與第三方元件、版本與相依關係的標準化清冊。有了 SBOM,才能在 Log4Shell 這類重大漏洞爆發時快速確認自身影響範圍,也是回應客戶與供應鏈安全要求的基礎文件。

我需要提供什麼才能進行 SBOM 分析?

提供專案原始碼壓縮檔即可,建議一併附上相依鎖定檔(如 package-lock.json、poetry.lock);.NET 專案請提供 packages.lock.json 以確保解析完整。分析全程不會執行您的程式碼,也不會進行套件還原。

我的原始碼會被留存嗎?

不會。原始碼僅在掃描期間暫存於隔離環境,掃描完成後(無論成功或失敗)立即刪除,系統僅保留分析結果與報告。

SBOM 會以什麼格式交付?支援哪些程式語言?

SBOM 以 CycloneDX 1.6 JSON 標準格式交付,可直接提供給客戶或匯入其他資安工具。掃描支援主流語言生態系(JavaScript/Python/Java/Go/.NET 等),漏洞比對來源為 NVD 與 GitHub Advisory 資料庫。

分析報告包含哪些內容?

繁體中文 PDF 報告包含 0–100 綜合風險評分、最嚴重的 Critical/High 漏洞清單(附 CVSS 分數)、授權條款風險分級、完整元件清單與修補建議,並附分析師簽章欄位;同時交付 CycloneDX JSON 檔。修補後可複測,報告會比較兩次掃描的元件與漏洞差異。

聯絡雷盾資安免費諮詢 · 查看定價方案