设备固件里经常混杂着开源库、供应商交付的组件以及提前编译好的二进制文件，仅凭文件名称很难准确判断出它们的真实版本。所以，要明白Cybellum怎么去识别二进制指纹，以及当指纹匹配出现异常时又该如何去判断，就需要把固件分析得到的各项数据、整理出来的SBOM清单，还有对应的产品版本，放在一起参照着看。Cybellum能够从产品或组件的二进制文件当中提取出软件组成方面的信息，并识别出版本历史、许可证类型、硬件架构以及操作系统的配置情况，这些信息可以用来持续维护产品的资产档案。

产品漏洞一旦进入整改阶段，光靠手工去维护一张表格，很快就会发现表格跟不上实际的变化，而且越来越乱。要想把Cybellum的整改进度清楚地跟踪起来，又把整改进度的看板配置得顺手一些，关键的地方，就是把每一个漏洞当前处在什么状态、波及了哪些版本、该由谁来负责处理、计划在什么时间之前完成，以及最终实际的处理结果，这几样信息串在同一条清楚的链条上。Cybellum本身在产品风险管理这一块，能够借助一个集中式的看板，让团队一眼就看到重要的风险项和各项关键指标，同时这个平台也会持续地盯着每次软件更新、各个产品版本以及不同分支当中的漏洞变化，一旦有新情况就会反映出来。

产品固件里面具体使用了哪些开源组件，每一款组件又分别对应着什么样的许可证，以及目前有没有踩到许可证合规方面的风险，这些事情如果仅仅依赖研发人员用手工的方式去逐一整理，是很难保证没有遗漏的。Cybellum这个平台，就能够把固件二进制文件、它对应的源代码，还有来自外部的SBOM信息结合起来，自动去识别软件的组成情况，并且把许可证信息也提取出来。同时，平台还能够让预设好的许可证策略，跟软件分析后得到的结果进行匹配，这样对于发现开源软件里存在的许可证缺口，会很有帮助。

产品在正式上线运行之后，漏洞管理这件事就不能只靠最初扫描时留下的那一份清单了，因为新的漏洞公告、组件版本更正、供应商发来的通报，还有企业内部自己发现的风险信息，会一直不停地冒出来。Cybellum的做法，是把SBOM和资产数据跟漏洞情报关联在一起，并且对软件更新、产品版本和分支中的风险做持续分析，平台不单单依赖某一个漏洞库，也支持把企业自己的内部漏洞信息纳入到评估里面去。

在漏洞扫描的结果出来以后，真正拖慢整改效率的，往往并不是告警数量本身，而是由谁来负责、要处理哪几个版本、什么时候能把证据交出来。要想把Cybellum里的修复任务合理地分配下去，并且弄清楚任务状态到底是怎么流转的，就需要把漏洞、对应的产品组件、受影响的版本、具体的责任人，还有整改的结论，全部都放在同一条记录里面。从Cybellum官方的资料来看，这个平台能够围绕整个调查过程，把相关的信息给整理起来，形成分析结论，创建起对应的工单，并且为不同的相关方生成报告。

在设备软件里，我们经常会看到这样的组合：一部分是自己开发的代码，一部分是开源的库，还有供应商给的交付包，甚至可能还夹杂着一些提前编译好的二进制文件，这些东西统统都算作第三方组件。那么当项目跑起来以后，到底该怎么用Cybellum去追踪这些组件，又怎样才能在它们悄悄发生变更的时候及时发现，其实最关键的一点，就是要给每一个产品版本都维护好一份可以不断更新的物料清单（也就是大家常说的SBOM），然后把组件的变化跟漏洞带来的影响串在同一条线上去看，这样做才不至于遗漏掉关键信息。

产品固件、组件包和供应商软件升级以后，光记下版本号的变化是远远不够的，还得弄清楚在Cybellum里面怎么去做版本差异比对，以及这些差异带来的影响该怎么确认，关键是把组件的增减、依赖关系的变化、漏洞状态的起落，还有配置上的调整都放在一起看。Cybellum提供的Version Comparison功能，就是专门用来比较不同产品或组件版本之间的差别，它会重点标出SBOM、安全状态和配置方面的变化。不同部署版本的页面名字可能有一点点出入，实际用的时候顺着版本比较的入口去找就行。

对产品的固件进行完一次安全扫描之后，在页面上列出来的那些漏洞，是不能直接拿过来当作长期基线的，因为接下来软件的升级、供应商组件的更新，还有外部威胁情报的变化，都会让风险的数量不停地发生变动。利用Cybellum这个产品安全平台，我们可以去创建、合并和校验SBOM，并且结合产品的版本、软件组件以及风险信息，去持续地监控漏洞，而Cyber Digital Twin还能从固件的二进制文件里面，把SBOM、版本历史、操作系统配置等信息都给提取出来，这就给后续做比对工作提供了基础。

产品版本走到交付、审计或者漏洞排查这一步的时候，组件清单一般都需要单独导出来，当成留档材料。Cybellum所具备的Asset&SBOM Management能力，能够把二进制扫描的结果、源码分析的数据，还有从外部拿到的SBOM信息合并到一起，并且对重复的组件做去重，还支持修正、校验和审批。这些操作完成之后，平台也能把最终结果输出成SPDX或CycloneDX格式，方便拿给客户、供应商，或者让合规团队继续往下用。

当拿到固件包、镜像文件或者供应商交付的成品之后，光靠看文件名，其实是很难搞清楚里面到底用到了哪些组件的，也不太容易快速判断，那些已经公开的漏洞里面，到底有哪些是真正会影响到当前产品的。要说清楚Cybellum的二进制扫描是怎么做的，以及扫描出来的结果又要怎么去核对，整个操作的重点，就是先把产品、组件和版本之间的关系给理清楚，然后再把这一次发布真正用到的那份制品给传上去。Cybellum会从固件这类二进制文件里面，把SBOM、版本的信息、许可证、硬件的架构，还有操作系统的配置这些数据给提取出来，然后再用它们去做后面的风险识别。