Säkerhetskontroll

SBOM: en innehållsförteckning för din mjukvara

En SBOM listar alla komponenter i din mjukvara — grunden för att kunna svara 'är vi påverkade?' när nästa Log4Shell dyker upp. Idag kör vi beroende-audit och kan analysera en SBOM du levererar; automatisk generering är på vår roadmap.

Kör gratis domänscan Alla kontroller →
Berör: NIS2 · art. 21 — leverantörskedja ISO 27001 · A.8.8 US EO 14028 · SBOM

Vad kontrolleras?

Idag kör vi beroende-audit (pip-audit / npm audit) inkl. transitiva beroenden och kan matcha en SBOM du tillhandahåller mot kända sårbarheter, så du snabbt kan svara på om en ny CVE påverkar er. Automatisk SBOM-generering (CycloneDX/SPDX) är planerad (roadmap), inte en funktion vi levererar i dag.

Varför spelar det roll?

När en kritisk sårbarhet i ett brett beroende publiceras är den första frågan 'använder vi det, och var?'. Utan en SBOM tar det dagar att svara. Med den tar det minuter — och det blir alltmer ett krav i leverantörskedjan.

Hur Security Guru testar det

Vanliga fel

  • Ingen SBOM alls → kan inte svara 'är vi påverkade?'
  • SBOM som bara täcker direkta, inte transitiva beroenden
  • Statisk SBOM som aldrig uppdateras vid nya releaser
  • Ingen koppling mellan SBOM och sårbarhetsdata

Vad du får i rapporten

  • Beroende-sårbarheter per projekt (inkl. transitiva)
  • Komponenter med kända sårbarheter markerade
  • Leverantörskedjerisker rankade
  • Mappning mot NIS2 leverantörskedja / ISO A.8.8

Vanliga frågor

Vad är skillnaden mot dependency-scanning?

Idag är det i praktiken samma: vi kör beroende-audit på era paket. En fullständig SBOM-innehållsförteckning (för att svara på FRAMTIDA sårbarheter) är på vår roadmap.

Vilket format?

SBOM-export i CycloneDX/SPDX är på vår roadmap. Idag levererar vi sårbarhetsanalys av era beroenden — och kan analysera en SBOM ni själva tillhandahåller.

Kör det self-hosted?

Ja — beroende-auditen kan köras i er miljö.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan