Cybellum资产清单怎么生成 Cybellum资产清单信息缺失怎么补齐-Cybellum中文网站

在做产品安全管理、漏洞跟踪或合规准备时，经常会遇到“Cybellum资产清单怎么生成，Cybellum资产清单信息缺失怎么补齐”这两个问题。资产清单不是简单列几个设备名称，而是要把产品、固件、组件、版本、许可证、系统配置、硬件信息等内容尽量串起来。Cybellum本身也围绕产品安全、SBOM、漏洞管理和合规验证来组织这些数据，平台能力中包含创建、合并和验证SBOM与资产信息。

　　一、Cybellum资产清单怎么生成

　　操作人员在进行产品安全维护、弱点跟进或者合规准备的时候，“Cybellum资产明细怎么制作，以及里面的内容漏了怎么补齐”这两个问题经常会被碰到。资产明细表并不是随便写几个设备名字就可以的，它需要把产品本身、内部固件、里面的零件、版本号、使用许可证、系统配置还有硬件信息这些内容都尽量连在一起。Cybellum这个平台也是把这些数据围绕着产品安全、软件成分表、弱点管理和合规检查来排布的，它的系统功能里就包括了创建、合并还有检查软件成分表与资产信息。

　　1、把产品和版本的范围理清楚

　　在制作明细表之前，操作人员最好先把“要清点对象”想明白。很多团队刚开始就直接把固件或者零件文件传上去了，结果到后面才发现产品的型号、版本批次还有厂家来源全都没对上；这样表格虽然做出来了，但是后面用来判断弱点的时候就很难用。

　　所以，大家要先确定这次要管的到底是一个产品、一个控制单元、一个固件版本，还是一整条产品线；像产品名字、型号、硬件版本、软件版本、出厂日期还有厂家来源这些基础信息，大家都得提前理好，不然平台后面认出来的零件信息就会找不到属于哪个业务。

　　2、把固件、二进制文件或者原有的软件成分表传进去

　　像Cybellum这种产品安全系统，通常是利用分析固件二进制、导入软件成分表或者拿厂家给的材料这些办法，把软件组成信息建立起来。系统里的数字孪生功能可以分析产品固件的二进制内容，把软件成分表、版本历史、许可证、硬件架构还有系统配置这些东西认出来。

　　在实际操作的时候，操作人员可以把固件包、镜像文件、压缩包、零件列表或者厂家给的软件成分表当成原始材料传进去，然后再让系统把对应的资产画面生成出来。

　　3、对零件识别的结果进行检查

　　资产明细表做出来之后，操作人员不能只看有没有结果，还得看零件名字、版本号、厂家、许可证、设备识别码、统一资源定位符还有哈希值这些地方写得合不合理。比如同一个开源零件可能因为起名字的方式不一样，就会被系统认成好几个差不多的条目；还有一些厂家给的零件可能只有文件名，根本没有写准确的版本。在这个时候，大家要花心思去处理那些重复的、好像认错了的，还有明显漏了信息的零件。

　　二、Cybellum资产清单信息缺失怎么补齐

　　资产明细表里漏掉信息是非常常见的事情，特别是在嵌入式产品、车载软件、医疗仪器或者工厂设备这些地方。这不一定是因为系统没认出来，也有可能是固件自己本来就缺了元数据，或者是厂家给的材料不全。

　　1、先弄清楚漏掉的是哪种信息

　　漏掉的内容大概可以分成这么几种：

　　基础资产信息的缺失，像是产品型号、版本还有厂家；

　　零件信息的缺失，像是零件名字、版本号还有许可证；

　　安全对应信息的缺失，像是设备识别码、统一资源定位符还有弱点关联；

　　业务信息的缺失，像是所属的项目、管这件事的负责人以及生命周期状态。

　　因为漏掉的类型不一样，所以处理的办法也不一样，大家不能光靠重新扫描来解决所有问题。

　　2、用厂家给的材料把来源信息填上

　　要是明细表里缺的是零件版本、第三方库的来源、许可证或者依赖关系，操作人员可以先去翻一翻厂家给的交付包、说明书、开源声明、物料清单、编译列表或者配置文件。很多时候系统虽然能发现有某个库在里面，但是它没办法确定版本，这时候厂家给的材料会比大家自己瞎猜更管用。

　　3、用好几种证据互相印证来确定版本

　　要是遇到了版本号对不上的情况，操作人员可以把文件路径、文件名、二进制字符串、包管理文件、做软件时的日志、哈希值还有零件官网的版本特点结合在一起进行判断。大家千万不能只看一个文件名就断定它是哪个版本，尤其是那些被删减过、静态编译过或者被厂商自己改过的零件，它们很容易出现“名字看起来像某个版本，但里面的代码根本不一样”的情况。

　　三、资产明细表做完之后还要怎么核对

　　等明细表做好了、漏掉的信息也填补完之后，操作人员还需要对它的实用性做一次检查。因为大家做资产明细表最终的目的不是为了“有一张表格”，而是为了后面能应付弱点处理、合规审计、厂家管理以及产品全生命周期的安全管理。

　　1、检查明细表是不是全的

　　操作人员可以对着产品版本一个一个地核对：看这个版本有没有固件文件；有没有软件成分表；有没有关联的厂家；有没有重要的零件；还有没有记录扫描时间和数据是从哪里来的。要是明细表里没有写扫描时间或者来源，后面的人就很难说清楚这张表还能不能代表现在的版本。

　　2、看弱点结果有没有不正常的地方

　　要是某个产品的零件有很多，但是查出来的弱点结果基本上是零，这时候大家就要小心是不是零件没对应上；要是弱点的数量突然变得特别多，大家也要看是不是设备识别码范围画得太宽了。管理弱点的时候不能光看数字，还得看这个零件是不是真的在里面、能不能被接触到、有没有被开起来，以及产品的运行环境到底碰不碰得到弱点触发的条件。

　　3、把更新的规矩立起来

　　资产明细表不是做完一次就扔在那里不管了。在产品升级、打补丁、换厂家或者零件版本变动之后，操作人员都应该把资产信息同步改掉。比较保险的办法是把做明细表的步骤和版本发布的流程绑在一起，每当固件定型、版本发布或者厂家送来新东西的时候，大家都去系统里加一条资产记录。

　　总结

　　Cybellum资产明细怎么制作，以及里面的内容漏了怎么补齐，这件事的核心不在于某一次扫描有没有跑完，而是在于产品层级、固件材料、软件成分表、零件识别、漏项填补还有弱点对应这些环节能不能串成一条线。在制作明细表的时候，操作人员要先把产品和版本的范围弄明白，再去传固件、软件成分表或者厂家材料；看到信息有漏掉的时候，大家要分清它是哪种类型，靠着厂家资料、二进制线索、版本证据还有识别码修正这些办法一点点补齐。这样弄出来的资产明细表，以后拿去查弱点、做合规检查还有管产品安全的时候才比较靠得住。