Un inventaire logiciel complet, généré à chaque scan.

Lumstep génère un Software Bill of Materials complet en formats CycloneDX et SPDX à chaque scan, via OWASP Dep-Scan. Il capture chaque dépendance directe et transitive, chaque licence et chaque URL de package - puis note le résultat de A à F avec sbomqs, un outil dédié à la qualité des SBOM. Le score reflète l'exhaustivité, la couverture des licences, la précision et l'aptitude du SBOM à être partagé avec des auditeurs ou des équipes achats.

Tableau de bord d'inventaire logiciel Lumstep listant les packages suivis, leurs versions et leurs licences

Pourquoi le SBOM compte

Auditeurs et régulateurs le demanderont. Soyez prêt.

Le règlement européen Cyber Resilience Act exige que les éditeurs de logiciels maintiennent et partagent des SBOM d'ici décembre 2027. NIS2, l'Executive Order américain 14028 et les exigences de preuve supply chain du SOC 2 Type II convergent dans la même direction. Au-delà de la conformité, un SBOM permet de répondre à "sommes-nous concernés ?" en quelques minutes plutôt qu'en plusieurs jours la prochaine fois qu'un package fait la une - et de détecter les conflits de licence avant que le juridique ou un auditeur ne les découvre.

  • Preuves prêtes pour l'audit CRA, NIS2 et SOC 2 Type II, générées automatiquement
  • Conflits GPL et licences inconnues ou restrictives signalés avant de devenir un problème juridique
  • Réponse immédiate à une nouvelle CVE - connaissez votre exposition sans recherche manuelle de dépendances
Couverture conformité
Cyber Resilience Act (UE)SBOM requis d'ici déc. 2027
Couvert
NIS2Preuve de chaîne d'approvisionnement requise
Couvert
SOC 2 Type IIPreuve de chaîne d'approvisionnement requise
Couvert
gpl-licensed-lib 2.1.0Conflit GPL-3.0 détecté
Signalé
Statut de conformité3 référentiels sur 3 couverts →
Génération & notation

Un SBOM complet, noté avant que quiconque ne le voie.

À chaque scan, OWASP Dep-Scan résout votre graphe de dépendances complet - chaque package direct et transitif, sa licence et son URL. sbomqs, un outil dédié à la qualité des SBOM, note ensuite le résultat de A à F sur l'exhaustivité, la couverture des licences, la précision et l'aptitude au partage.

acme/payments-api312 composants résolus
express4.19.2 · MIT
OK
lodash.template4.5.0 · licence inconnue
À vérifier
node-forge1.3.1 · BSD-3-Clause
OK
gpl-licensed-lib2.1.0 · GPL-3.0
Conflit GPL
Score qualité SBOMA- · sbomqs
Export & partage

Transmettez-le dans le format qu'on vous demande vraiment.

Chaque SBOM est généré en CycloneDX et en SPDX - les deux formats attendus par le juridique, les auditeurs et les régulateurs. Exportez-le directement depuis votre tableau de bord dès qu'on vous le demande, sans outil supplémentaire ni reformatage.

Formats d'export
CycloneDXJSON, standard OWASP
Prêt
SPDXStandard ISO/IEC 5962
Prêt
DestinatairesJuridique, auditeurs, achats →
Analyse des licences

Repérez les risques de licence avant qu'ils ne deviennent un problème juridique.

Conflits GPL, licences inconnues et conditions commercialement restrictives sont signalés directement dans la vue SBOM, pas enfouis dans un tableur. Sachez précisément quelles dépendances méritent un second regard avant qu'un auditeur - ou votre propre service juridique - ne le demande.

Répartition des licences
MIT184 packages
OK
Apache-2.056 packages
OK
GPL-3.01 package
Conflit
Inconnue3 packages
À vérifier
Risque licence4 signalés sur 244 →

Générez votre premier SBOM en quelques minutes.

Accès anticipé gratuit. Votre SBOM est prêt dès le premier scan, sans configuration supplémentaire.

Accès anticipé