Überprüfung des Komponentenmoduls im Arbeitsbereich Software Bill of Materials

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Das Modul Komponenten im Arbeitsbereich Software Bill of Materials (SBOM) zeigt aktuelle Informationen über angreifbare, veraltete, verworfene und risikoreiche Kombinationen für die von Ihnen importierten Komponenten an.

    Komponentenmodul anzeigen

    Erforderliche Rollen:
    • Ab v2.1 von SBOM Core – sn_sbom_resp.sbom_analyst
    • Vor v2.1 von SBOM Core – sn_sbom_resp.admin

    Navigieren zu Arbeitsbereiche > SBOM-Arbeitsbereich > Komponentenan.

    Was Sie im Modul sehen können, hängt von den installierten Anwendungen ab.

    Ab v3.2 von SBOM Response werden importierte Daten nicht mehr durch Live-Abfragen berechnet und gefüllt. Die Punktzahlen auf den Seiten „Homepage“ und „Komponenten“ werden einmal täglich mit Leistungsverbesserungen für die Berichterstellung aktualisiert. Diese Erweiterung ermöglicht Ihnen möglicherweise schnellere Ladezeiten für die Bewertungslisten in den Modulen Startseite und Komponenten im Arbeitsbereich SBOM.

    Diese Erweiterungen haben keine Auswirkungen darauf, wie oder wo Daten gespeichert werden.

    Installierte Anwendung Beschreibung
    Wenn Sie SBOM Core installiert haben Ab v2.1 ein Bestandsverzeichnis aller hochgeladenen Komponenten mit den folgenden Informationen:
    • Name
    • Beschreibung
    • Version
    • Anzahl der Stücklistenentitäten
    Wenn Sie SBOM Response installiert haben Wählen Sie ab v3.1 von SBOM Antwort ein Diagramm oder eine Zahl im Diagramm aus, um eine Liste der zugehörigen Datensätze anzuzeigen.
    Alle Komponenten
    Liste der veralteten und verworfenen Komponenten sowie der Komponenten mit mindestens einer Schwachstelle in Ihrer Gesamtkomponentenanzahl. Diese Anzahlen können Ihnen helfen, Komponenten zu identifizieren, die Ihre Aufmerksamkeit erfordern. Diese Teilmengen von Komponenten stimmen möglicherweise nicht mit Ihrer Gesamtkomponentenanzahl überein, da möglicherweise nicht alle Ihre Komponenten in diese Kategorien passen.
    • Die Version einer veralteten Komponente ist mehr als zwei Hauptversionen älter als die aktuelle Version und zwei Jahre älter als die aktuelle Version.
    • Eine verworfene Komponente wurde seit mehr als zwei Jahren nicht mehr aktualisiert.
    • Angreifbare Komponenten sind Komponenten, die Schwachstellen mit dem Schweregrad „ Hoch“ oder höher aufweisen.
    Kombinationen mit hohem Risiko

    Komponenten mit hohem Risiko erfordern möglicherweise Ihre sofortige Aufmerksamkeit. Die Deps.dev -Integration, die bei der Installation der Anwendung SBOM Response installiert wird, stellt die Pakete Intelligence für Komponenten im Status „Veraltet“ und „ Verworfen “ bereit.

    Importierte Kombinationen mit hohem Risiko bestehen aus veralteten und verworfenen Komponenten mit mindestens einer schwerwiegenden Schwachstelle (Kritisch oder Hoch), die Sie durch Updates, Austausch oder eine andere Art der Reparatur beheben können. Der Status „ Vollständig reparierbar “ bedeutet, dass für eine Komponente eine Version verfügbar ist, mit der das Problem behoben werden kann. Der Prozentsatz der Gesamtzahl der Komponenten mit hohem Risiko, die über reparierbare Versionen verfügen, wird angegeben.

    Angreifbare Komponenten mit Behebbarkeit
    Gesamtsummen und Aufgliederungen der Komponenten mit Schwachstellen vom Typ „ Kritisch“, „ Hoch“, „ Mittel“ und „ Niedrig “, und gibt an, ob einige oder alle ihrer Schwachstellen behoben werden können. Wenn eine Komponente mehr als eine Schwachstelle aufweist, hat die kritischste Schwachstelle Vorrang.

    Der Behebbarkeitsstatus:

    • Abgeschlossen – Es gibt Korrekturversionen für alle Schwachstellen, die der aktuellen Version der Komponente zugeordnet sind.
    • Teilweise: Es gibt eine Korrekturversion für mindestens eine, aber nicht alle Schwachstellen, die der aktuellen Version der Komponente zugeordnet sind.
    Komponenten nach Lizenz
    Gesamtsummen und Aufgliederungen der Komponenten nach Lizenzen.

    In der Komponentenliste unter den Visualisierungen können Sie Name, Beschreibung, Version und Anzahl der Entitäten anzeigen. Im rechten Bereich können Sie einen Versionsverlauf anzeigen. Die aktuelle Version wird im Versionsverlauf hervorgehoben. Die Spalten Allgemeine Schwachstellen und Gefährdung (CVE) und Behebbarkeit werden ebenfalls angezeigt.

    Risiko mit Vulnerability Intelligence bewerten

    Weitere Informationen zum Überprüfen von Vulnerability Intelligence-Daten im -Arbeitsbereich finden Sie unter Eine Software Bill of Materials -Entität wird auf Schwachstellen überprüft.