通过第三方软件验证支持企业品质提升的 Orchestra Holdings 股份有限公司子公司 VES 股份有限公司(总公司:东京都涩谷区,代表董事:中村庆郎,以下简称 VES)宣布,将于 2026 年 7 月初开始提供云端服务「SBOM+(SBOM plus)」(以下简称「SBOM+」)的 Beta 版,该服务集成了产品安全管理所需的 SBOM(软件物料清单)生成、漏洞管理、欧盟网络韧性法案(以下简称 CRA)的对应状况以及证据管理。与此同时,公司开始招募可优先使用此服务的免费试用参与企业。 开发背景 近年来,随着 OSS(开源软件)和第三方组件使用的扩大,源自软件供应链的安全风险对应变得日益重要。 此外,以 CRA 为首的法规整备不断推进,提供产品的企业被要求掌握软件构成信息、创建漏洞管理体制、回应漏洞报告以及管理对应履历等。 在此背景下,VES 与 Viettel Cyber Security 以及 Art-Net 股份有限公司共同开发「SBOM+」,以支持从 SBOM 生成到漏洞管理及 CRA 合规所需的业务管理。 关于 SBOM+ 「SBOM+」是一款云端服务,以产品中包含的软件构成信息 SBOM 为起点,统一管理漏洞信息收集、VDP(漏洞揭露计划)对应、CRA 规定的漏洞报告义务的对应状况,以及一系列对应证据。 它协助解决 PSIRT(产品安全事件应变团队)、产品开发部门、品质保证部门等中,针对每个产品的 SBOM 管理因人而异、漏洞回应的优先级排序、对外部漏洞报告的回应,以及为 CRA 等法规合规进行证据管理等课题。 SBOM+ 的特点 1. SBOM 生成 除了支持现有的 SBOM 格式外,还可以从原代码、二进位档、容器映像等多种输入格式生成和分析 SBOM。通过统一管理每个产品的 SBOM,提高对构成组件的掌握和变更管理的效率。 2. 漏洞信息收集与分类 针对生成和注册的 SBOM,自动关联相关的漏洞信息、紧急程度以及显示实际利用状况的 KEV(已知被利用漏洞)信息,可视化每个产品的安全风险。这有助于判断回应优先级和掌握影响范围。 此外,对于从外部报告的漏洞信息,从受理、初步评估、影响分析、回应方针决定、向开发部门提出回应请求、修正状况管理、与报告者沟通,到信息揭露的整个过程进行统一管理,并通过累积对应履历来创建持续性的体制。 3. 产品漏洞回应管理 产品的漏洞回应需要 PSIRT、产品开发部门、品质保证部门等多个部门之间的协作。「SBOM+」可以在仪表板上统一管理每个产品的 SBOM、相关漏洞、VDP 和 CRA 的对应状况。 4. 证据管理 着眼于 CRA 合规,可以整理和累积漏洞管理、报告回应、信息揭露、确保证据所需的管理项目。它也支持 CRA 规定的漏洞报告流程管理,协助确保法规和审计对应所需的说明责任。 免费试用招募概要 Beta 版的免费试用预计于 2026 年 7 月初开始提供。 本次试用针对正在考虑产品安全管理、VDP 运营、CRA 合规的企业和部门,如 PSIRT、产品开发部门、品质保证部门等,提供着眼于实际运营的验证环境。 对于考虑试用的客户,我们为希望「确认是否适合自家运营」或「首先查看产品画面和使用性」的客户提供个别咨询会。 我们不仅接受已经在考虑的客户咨询,也欢迎在 SBOM 运营或 CRA 合规方面遇到挑战的客户咨询。 申请 URL:https://www.ves.co.jp/sbomplus-trial-consultation/ 本次试用为测试提供,我们将在反映实际用户的意见和需求的同时,持续进行功能改进,目标是于 2026 年 9 月正式发布。 SBOM+ 介绍网络研讨会 在 Beta 版试用招募之前,我们将举办在线网络研讨会,介绍「SBOM+」的概要和使用方法。 在网络研讨会中,我们将根据漏洞回应的实际情境,通过「SBOM+」的示范具体介绍一系列回应流程。 [网络研讨会概要] 举办日期与时间 ・6 月 16 日(星期二)12:00〜12:40 ・6 月 18 日(星期四)13:00〜13:40 ※在线 / 免费参加 ※两天内容相同 申请 URL:https://www.ves.co.jp/sbomplus-trial-webinar/ ※关于免费试用和网络研讨会的申请,可能会拒绝同业其他公司的参与。 关于 VES 股份有限公司 公司名称:VES 股份有限公司 代表者:代表董事 中村庆郎 所在地:东京都涩谷区惠比寿 4-20-3 惠比寿花园广场大厦 8 楼 URL:https://www.ves.co.jp/ 关于 Viettel Cyber Security 公司名称:Viettel Cyber Security 代表者:董事长兼首席执行官 Nguyen Son Hai 所