SBOM 与漏洞管理

从 CVE 到具体设备。以小时计，而非数周

CRA 漏洞通报义务将于 2026 年 9 月正式生效，其中包括 24 小时预警要求。OnBoard™ IoT Security (OBIS) 将软件物料清单 (SBOM)、设备身份配置（Provisioning）记录与 OTA 状态统一纳入同一条运营信任链中，使从 CVE 定位到受影响设备序列号的路径，能够通过一次查询直接完成。

生命周期可追溯性

跨发布、生产与部署状态追踪漏洞暴露范围

SBOM、Provisioning 记录与设备状态在构建、Provisioning 以及 OTA 运营全过程中始终保持可信关联，因此漏洞暴露分析始终能够反映设备的真实当前状态。

L1 · 发布版本

哪些发布版本受到影响

每个已签名发布版本都会将其 SBOM 与依赖关系记录持续带入 Provisioning 与 OTA 运营流程，从而在整个生命周期中保持可追溯性。

L2 · 生产批次

哪些生产批次受到影响

Provisioning 记录会将每个生产批次绑定到对应的授权发布版本，而 EdgeHSM 签名则使这种关联具备防篡改能力。

L3 · 设备状态

哪些已部署设备仍然处于暴露状态

逐设备状态会持续追踪固件、凭证、更新与回滚历史，因此漏洞暴露映射反映的是设备当前的运营状态，而非历史部署数据。

漏洞运营

贯穿产品生命周期的运营级漏洞响应

OBIS 将漏洞情报、生产历史、OTA 状态以及 VEX 决策统一纳入同一套运营工作流中，使漏洞暴露分析与修复追踪始终基于设备的当前实际状态。

Q1 · 严重性

漏洞的实际相关性有多高？

CVSS 评分只是起点。OBIS 会进一步关联可利用性、运行时可达性以及已知利用活动，从而识别哪些漏洞真正会影响已部署产品。

Q2 · 暴露范围

哪些设备仍然受到影响？

从发布版本、生产批次到已部署设备状态，OBIS 基于设备当前运营状态映射漏洞暴露范围，并自动排除已经通过 OTA 更新完成修复的设备。

Q3 · 修复

应该采取什么措施？

无论是补丁、缓解措施还是“不受影响”判定，每项修复决策都会成为受控运营记录的一部分。制造授权与 OTA 部署也始终在同一套信任工作流下协同执行。

Q4 · 覆盖率

修复是否真正完成？

设备状态记录会持续确认已部署产品的修复覆盖情况，并基于运营状态直接追踪受影响设备、已修复设备以及剩余暴露范围。

漏洞追踪

每一项漏洞决策都会成为受控记录的一部分

漏洞评估、修复决策以及部署覆盖情况，在整个生命周期中都会持续关联到受控产品记录。

受影响

漏洞代码路径在设备当前运营条件下可被触达，因此需要持续追踪修复进展，直至部署闭环完成。

不受影响

漏洞组件虽然存在，但由于运行时条件、架构边界或补偿性控制措施，在当前已部署产品环境中无法被利用。

调查中

漏洞已经匹配到受控发布版本，但分析与修复决策仍在进行中。

已修复

修复后的发布版本已完成签名，并通过制造更新或 OTA 运营完成部署，同时持续追踪覆盖情况，直至漏洞暴露被完全消除。