Eine Software Bill of Materials -Entität wird auf Schwachstellen überprüft

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Bestimmen Sie, ob den Komponenten in einer hochgeladenen Datei Software Bill of Materials (SBOM) Schwachstellen zugeordnet sind.

    Die folgenden Anwendungen müssen installiert und aktiviert sein, bevor Sie die Schwachstellen und erweiterten Schwachstellendaten anzeigen können:
    • SBOM Antwort
    • Integration von Vulnerability Response mit NVD- und CWE-Jobs
    • Vulnerability Response
    Weitere Informationen finden Sie unter Software Bill of Materials erkunden.
    Erforderliche Rolle:
    • Ab Version 2.1 von SBOM Core – sn_sbom_resp.sbom_analyst
    • Vor v2.1 von SBOM Core – sn_sbom_resp.admin
    1. Navigieren zu Alle > SBOM-Arbeitsbereich > Komponenten.
    2. Vor Version 3.1 von SBOM Response können Sie Schwachstelleninformationen entweder über eine Visualisierung oder einen Komponentendatensatz anzeigen.
      Methode Aktionen
      Visualisierung von Stücklistenentitäten mit Schwachstellen Wählen Sie das Visualisierungsdiagramm Stücklistenentitäten mit Schwachstellen aus.
      • Wenn dieser Komponente Schwachstellen zugeordnet sind, werden die Summen in den Spalten CVE und CWE in der Liste angezeigt. Eine Komponente kann mehr als eine Schwachstelle aufweisen. Falls verfügbar, können Sie die Spalte Reparierbarkeit in dieser Liste auf Einträge überprüfen.
      • Wenn dieser Komponente keine Schwachstellen zugeordnet sind, zeigen diese Spalten 0 oder keine Werte für die Komponente an.

      Wenn die Spalten CVE, CWE und Fixability nicht angezeigt werden, können Sie sie der Seite hinzufügen, indem Sie oben rechts auf der Seite das Zahnradsymbol Zahnradsymbol und dann Spalten bearbeitenauswählen. Wählen Sie sie aus der Liste Verfügbare Spalten aus, und klicken Sie auf OK.
      Komponentendatensatz
      1. Wählen Sie einen Datensatz aus der Liste unter den Visualisierungen aus.
      2. Wählen Sie im Datensatz die Registerkarte Schwachstellen aus.
        1. Wenn keine Daten angezeigt werden, sind dem Datensatz keine gemeldeten Schwachstellen zugeordnet.
        2. Wenn Daten angezeigt werden, lesen Sie Überprüfen des Komponentenmoduls im Software Bill of Materials -Arbeitsbereich, und befolgen Sie die Schritte im Fehlerkorrektur-Workflow für Application Vulnerability Response, um die Schwachstelle zu beheben.

          Weitere Informationen finden Sie unter Application Vulnerability Response Schwachstellen werden korrigiert.

    Bewerten Sie Ihr Risiko mit Vulnerability Intelligence

    Ab Version 3.1 von SBOM Response können Sie mit SBOM Response weitere erweiterte Schwachstellendaten für Komponentendatensätze anzeigen. Die unter Unterstützte Anwendungen beschriebenen geplanten Aufgaben SBOM Response, Vulnerability Response, National Vulnerability Database (NVD) Integration und Common Weakness Enumeration (CWE) müssen installiert und aktiviert sein.

    1. Wählen Sie das Diagramm Alle Komponenten aus, um die Liste der zugehörigen Datensätze anzuzeigen.
    2. Wählen Sie einen Link in der Spalte Name aus, um einen Datensatz zu öffnen.

      Die Status, Veraltet, Verworfenund Angreifbar werden unter dem Komponentennamen angezeigt. Eine Komponente kann eine beliebige Kombination dieser Status haben. Wenn kein Status angezeigt wird, ist die Komponente nicht veraltet, aufgegeben oder angreifbar.

      Überprüfen Sie die aktuelle Version und die letzte veröffentlichte Version. Im rechten Bereich können Sie einen Versionsverlauf anzeigen. Die aktuelle Version wird im Versionsverlauf hervorgehoben, und ihre Position in der Liste kann Ihnen Einblicke geben, warum eine Komponente Veraltet, Verworfenund Angreifbarist. Beispielsweise verwenden Sie möglicherweise eine ältere Version einer Komponente.

    3. Wählen Sie im Datensatz die zugehörigen Registerkarten Übersicht, Hashes, Stücklistenentitäten, Schwachstellenund AVIs aus.
      • Übersicht: Eine Zusammenfassung der Komponentendetails.
      • Stücklistenentitäten: Eine Liste der Entitäten, die dieser Komponente zugeordnet sind.
      • Hashes: Wenn importiert, werden Hashes angezeigt.
      • Schwachstellen: Informationen zu bekannten Schwachstellen, die dieser Komponente zugeordnet sind. Wenn diese Liste leer ist, sind keine Schwachstellen bekannt.

        Wenn die Liste ausgefüllt ist, wählen Sie die Registerkarte aus, um Schwachstellen-IDs, Zusammenfassungen und andere Schwachstelleninformationen für Common Vulnerabilities and Exposures (CVE) und Common Weakness Enumeration (CWE)-Daten anzuzeigen, die mit diesem Datensatz verknüpft sind. CVEs werden nach Schweregrad aufgeschlüsselt, CWEs werden danach aufgeschlüsselt, wie wahrscheinlich die Komponente ausgenutzt werden kann. Sie können die erweiterten Schwachstellendatensätze in den Anwendungen Vulnerability Response oder Application Vulnerability Response anzeigen, indem Sie auf den Link der Schwachstellen-ID klicken.

      • AVIs (AVITs): Angreifbare Anwendungselemente, die dieser Komponente zugeordnet sind, wenn Sie AVIT-Erstellungsregeln erstellt haben, die die Komponente einer bekannten Schwachstelle zuordnen. Die Anwendung Application Vulnerability Response (AVR) verknüpft eine Schwachstelle mit einer Anwendung, um einen AVI-Datensatz zu erstellen. Weitere Informationen finden Sie unter Erstellen von Regeln für angreifbare Anwendungselemente im Software Bill of Materials -Arbeitsbereich.