Publisher Trust Score for software inventory

The fleet inventory has always shown what's installed. This week it learned to score it — by who shipped it.

What's new

• Publisher Trust Score (0–100). Every detected publisher gets a score derived from its release-pipeline maturity, signing history, vulnerability response time, and known-good reputation. Scores update as new evidence arrives.
• Publisher and Certificate registry tabs. Drill from a low score into which certificate the publisher uses, when it expires, who issued it. Clicking a publisher row shows every package across the fleet that ships under it.
• Software updates available. The inventory now also tells you which packages have a newer version available — same source the agent uses to detect end-of-life and CVE patches.
• AI Recommendations tab on Software. Plain-English explanation of why a particular package is flagged risky and what action — upgrade, replace, sandbox — would reduce the score most.

Why this matters

You can read CVEs all day and still miss a supply-chain compromise — because supply-chain risk is fundamentally about who shipped the bits, not what version they shipped. The Publisher Trust Score is our first attempt at making that question quantifiable.

Trust Score видавців для software-інвентаризації

Інвентар флоту завжди показував, що встановлено. Цього тижня він навчився оцінювати — кого встановлено.

Що нового

• Publisher Trust Score (0–100). Кожен виявлений видавець отримує оцінку — на основі зрілості його release-pipeline, історії підписів, часу відповіді на вразливості та репутації. Оцінки оновлюються, коли надходять нові докази.
• Вкладки Publisher і Certificate registry. Drill з низької оцінки до того, який саме сертифікат використовує видавець, коли той прострочений, хто видавець. Клік на рядок видавця — і ви бачите всі пакети по флоту, які постачаються під ним.
• Доступні оновлення ПЗ. Інвентар тепер показує, для яких пакетів є новіша версія — те саме джерело, яке агент використовує для детекту EOL та CVE-патчів.
• Вкладка AI Recommendations на Software. Пояснення людською мовою, чому конкретний пакет позначений ризиковим, і яка дія — апгрейд, заміна, sandbox — найбільше зменшить оцінку.

Чому це важливо

Можна цілий день читати CVE і пропустити supply-chain-компроміс — бо ризик ланцюжка постачання не про те, яку версію поставили, а про те, хто її поставив. Publisher Trust Score — наша перша спроба зробити цю відповідь кількісною.