ソフトウェア部品表 の探索

  • リリースバージョン: Australia
  • 更新日 2026年04月03日
  • 所要時間:7分

    • インスタンスにアップロードする ソフトウェア部品表 (SBOM) ファイルから、組織のアプリケーションで使用されているコンポーネントを特定します。オープンソースソフトウェアの使用に関連するリスクを理解することで、潜在的なエクスポージャーを判断し、ライセンスのコンプライアンスを確認して、脆弱性を修正することができます。

    ソフトウェア部品表の概要

    サードパーティおよびオープンソースのコンポーネントには、ソフトウェアプロジェクトを迅速に作成してリリースするための多くのメリットがあります。ただし、場合によっては、公開されているコンポーネントの使用に関連する次のようなリスクがあります。

    • コンポーネントの完全性の可視化の欠如
    • オープンソースソフトウェアの脆弱性
    • オープンソースソフトウェアのパッケージインテリジェンス
    • 非準拠ソフトウェアのライセンス

    ソフトウェア部品表ファイルは、API を介して、または手動でアップロードできます。エンティティとしてインポートしたファイルを表示します。これは、ソフトウェアで使用されているサードパーティコンポーネントライブラリのインベントリであり、推移的な依存関係と利用可能なライセンスの情報を含みます。

    CycloneDX および SPDX SBOM のソフトウェアインベントリに含まれるものの詳細については、「CycloneDX - ソフトウェア部品表 (SBOM)」および「SPDX」を参照してください。

    ソフトウェア部品表ユーザー

    表 : 1. ユーザー
    ユーザー 説明
    脆弱性マネージャーと脆弱性アナリスト アップロードされたソフトウェア部品表ファイルをレコードに表示し、データを可視化するとともに、ソフトウェア部品表 (SBOM) ワークスペースで拡張された脆弱性インテリジェンスを表示します。

    脆弱性マネージャーと脆弱性アナリストは、この情報を使用して、ソフトウェアライセンスのコンプライアンスと、オープンソースソフトウェアの使用による潜在的なリスクエクスポージャーを判断します。
    ユーザーには以下のような人が含まれますが、これらに限定されません。
    • テクノロジーまたはソフトウェア関連の弁護士
    • IT マネージャー
    • 監査人
    • ソフトウェア資産のマネージャーとチーム
    		 アップロードされた SBOM ファイルのコンポーネントについて、アップロードされた自社開発のソフトウェアやオープンソースソフトウェアのライセンスを表示します。

    コンポーネントの自社開発ソフトウェアおよびオープンソースソフトウェアのライセンスのデータベースを構築します。

    内部ポリシーまたは規制ポリシーに従って、情報が不足しているライセンスをレビューして分類します。

    コンポーネントとライセンスを照合して、ライセンスの全体的なコンプライアンスを判断し、禁止または制限されている、あるいは欠落しているライセンスに対する潜在的なリスクエクスポージャーを確認します。

    ソフトウェア部品表 のワークフロー

    SBOM アプリケーションを使用すると、ファイルをアップロードし、Software Bill of Materials (SOBM) ワークスペースでエンティティ、コンポーネントインベントリ、脆弱性、ソフトウェアライセンス情報の詳細を表示できます。

    • API を使用して、または手動で SBOM ファイルをアップロードします。
    • SBOMワークスペースにアップロードした SBOM ファイル内のコンポーネントを確認します。
    • アップロードされた SBOM ファイルからコンポーネントライセンス情報を確認し、ファイルを分類することで、制限または禁止されているライセンスへのエクスポージャーを特定できます。
    • リスクエクスポージャーを評価し、脆弱性が関連付けられているコンポーネントの脆弱性一致アイテムを作成します。
    • SBOMワークスペースのホームページで、アップロードされた SBOM コンポーネントのレポートとダッシュボード、および全体的なライセンスコンプライアンスを表示します。

    ソフトウェア部品表 のメリット

    次の 3 つの Software Bill of Materials アプリケーションを使用すると、ソフトウェアコンポーネントと関連するリスクの正確なインベントリを表示できます。
    • SBOMデータモデル
    • SBOM コア
    • SBOM Response

    互換性情報については、「KB0856498 脆弱性対応互換性マトリクスおよびリリーススキーマの変更」を参照してください。

    表 : 2. SBOM のメリット
    メリット アプリケーション サポートされているバージョン
    このアプリケーションは、SBOM データの保存に使用されるテーブルを提供します。このアプリケーションは必須です。SBOM データを読み取るために必要なテーブル、ACL、およびロールが含まれています。 SBOMデータモデル v4.0、v3.0、v2.0
    このアプリケーションは必須です。SBOM ドキュメントをアップロードするために必要な API と、それらのドキュメントからデータを解析してインスタンスにインポートするために必要なビジネスロジックが含まれています。SBOMワークスペースでソフトウェアコンポーネントのインベントリを表示できますが、ランディングページにデータの可視化を表示することはできません

    Software Bill of Materials ファイルを CycloneDX および SPDX 標準でアップロード、解析、処理します。これらの製品でサポートされているファイル形式とバージョンについては、「サポートされているバージョン」列を参照してください。部品表 (BOM) エンティティとソフトウェアコンポーネントのインベントリを表示します。BOM エンティティは、SBOM ファイルのルートレベルコンポーネントです。たとえば、CycloneDX SBOM の場合、メタデータにリストされているコンポーネントは BOM エンティティと見なされます。

    		 SBOM コア

    v6.0、v5.0、v4.0

    バージョン 4.0 以降、SBOM Core は以下をサポートします。

    • CycloneDX の XML および JSON バージョン 1.0 ~ 1.6
    • SPDX の JSON バージョン 2.2 ~ 2.3
    • SBOM ワークスペースのランディングページにある機能やデータの可視化にアクセスする場合は、SBOM Response が必要です。
    • SBOM Response には 脆弱性対応 アプリケーションが必要です。
    • コンポーネントのインベントリを表示し、SBOM ワークスペースでリスクエクスポージャーを評価します。アプリケーション脆弱性一致アイテム (AVIT) を自動的に作成し、アプリケーション脆弱性対応 ワークフローで修復するためのルールを設定します。
    • ライセンス管理モジュールで、SBOM ファイルとともにアップロードされたコンポーネントライセンス情報を表示します。アプリケーション脆弱性対応 ファイルでアップロードするコンポーネントを分類し、ライセンスに対して解決 (照合) することで、全体的なライセンスコンプライアンスのステータスを確認できます。
    • アプリケーション脆弱性対応 Response の v4.0 以降では、SBOM ワークスペースで使用可能なポリシーアズコードエンジン (PaCE) インターフェイスで、「古い」と識別されたコンポーネントや「非準拠」として破棄されたコンポーネントを表示できます。

    • OSV.dev と Deps.dev の統合は、SBOM Response のインストール時に組み込まれます。

      • OSV.dev は、パッケージまたはライブラリの特定のバージョンの脆弱性インテリジェンス情報を提供するオープンソース API です。
      • Deps.dev は、特定のパッケージまたはライブラリのバージョンリストを提供するオープンソース API であり、ステータスが [古い] および [放棄] であるコンポーネントを識別します。

      詳細については、「ソフトウェア部品表 での Deps.dev、OSV.dev、PaCE 統合の構成」を参照してください。

      PaCE および PaCE ポリシーの詳細については、Integrating PaCE with other applications を参照してください。

    		 SBOM Response v6.0、v5.0、v4.0
    継続的統合と継続的展開の開発サイクル全体を通じて、ソフトウェアの ソフトウェア部品表 (SBOM) ファイルを生成してアップロードします。 SBOM Response
    • Data Model for SBOM:v1.4 以降
    • SBOM Core:v3.0 以降
    • SBOM Response:v4.0以降

    脆弱性対応 アプリケーションCSDM テーブル7

    脆弱性対応アプリケーション脆弱性対応、サードパーティの脆弱性統合、および ソフトウェア部品表 アプリケーションは、CSDM テーブルを管理します (データを提供)。これらのアプリケーションは、他のアプリケーションが生成する CSDM テーブルのデータも使用します。したがって、いくつかの ServiceNow 製品はセキュリティオペレーションアプリケーションのメリットを享受しつつ、付加価値ももたらします。詳細については、「脆弱性対応 アプリケーションと CSDM テーブル7」を参照してください。

    次に探索する内容

    ソフトウェア部品表を構成して使用する方法の詳細については、以下を参照してください。