Deps.dev-, OSV.dev- und PaCE-Integrationen für konfigurieren Software Bill of Materials

  • Freigeben Version: Yokohama
  • Aktualisiert 28. Februar 2025
  • 3 Minuten Lesedauer

    • Sie können einige der Parameter für die Deps.dev- und OSV.dev-Integrationen bearbeiten. Es gibt auch zwei Codeauslöser-Versionen dieser Integrationen, die ausschließlich für interne Workflows verwendet werden. Sie sollten diese Integrationen nicht bei Bedarf initiieren. Darüber hinaus können Sie eine geplante Aufgabe aktivieren, um Richtlinien mit Policy as Code Engine (PaCE) zu erstellen.

    Codeauslöser-Integrationen für interne Workflows

    Ab v3.2 von SBOM Response umfassten die Leistungsverbesserungen das Hinzufügen von zwei OSV.dev- und Deps.dev -Codeauslöserintegrationen :
    • OSV-Integration (Codeauslöser bei Bedarf)
    • Deps.dev-Integration (Codeauslöser bei Bedarf)
    Diese Integrationen werden automatisch durch interne Workflows initiiert und dienen nur zur internen Verwendung. Obwohl Sie sie finden können, dürfen Sie diese Integrationen bei Bedarf nicht über die Schaltfläche Jetzt ausführen in ihren Integrationsdatensätzen initiieren.

    Ausführungszeitplan für Deps.dev-Integration konfigurieren

    Um den Zeitplan zu ändern, navigieren Sie zu Alle > Vulnerability Response > Administration > Integrationen > Deps.dev-Integration. Die Rolle „sn_vul.app_configure_integrations“ ist erforderlich, um den Zeitplan dieser Integration zu bearbeiten.

    Diese Deps.dev-Integration wird verwendet, um Komponenten zu identifizieren, die sich im Status „Veraltet“ und „Verworfen“ befinden. Die Version einer veralteten Komponente ist mehr als zwei Hauptversionen älter als die aktuelle Version und zwei Jahre älter als die aktuelle Version. Eine verworfene Komponente wurde seit mehr als zwei Jahren nicht mehr aktualisiert. Die Zwei-Jahres- und Zwei-Versions-Schwellenwerte können mit den Systemeigenschaften bearbeitet werden. Um diese Parameter zu bearbeiten, navigieren Sie zu Alle > Systemeigenschaften > Alle Eigenschaften und suchen Sie die folgenden Datensätze:
    • sn_sbom_resp.pkg_abandoned_threshold
    • sn_sbom_resp.pkg_stale_threshold
    • sn_sbom_resp.pkg_stale_version_threshold

    Die Deps.dev-Integration wird mit der Antwort auf SBOM installiert. Die Integration ist standardmäßig aktiviert (Kontrollkästchen „Aktiv“ im Integrationsdatensatz aktiviert) und soll wöchentlich ausgeführt werden. Beachten Sie, dass dies nicht die bedarfsgesteuerte Deps.dev-Codeauslöserintegration ist. Sie können den Zeitplan bearbeiten und die geplante Aufgabe bei Bedarf über den zugehörigen Integrationsdatensatz initiieren. .

    Die Schwellenwerte für „Verworfen“ und „Veraltet“ werden in Monaten angegeben. Der Schwellenwert für die Version ist numerisch.

    Sie können importierte Daten auf der Homepage des -Arbeitsbereichs und im Modul „Stücklisten-Warteschlange“ anzeigen. Importierte Daten werden in der Tabelle „Paketgruppen“ [sn_sbom_pkg_group] gespeichert.

    OSV.dev-Integration konfigurieren und initiieren – Umfassend

    Die Integration „OSV.dev Integration - Comprehensive “ wird mit SBOM Response installiert. Die Integration ist standardmäßig aktiviert (Kontrollkästchen Aktiv im Integrationsdatensatz aktiviert). Beachten Sie, dass dies nicht die bedarfsgesteuerte OSV.dev-Codeauslöser-Integration ist und Sie diese Integration bei Bedarf über den zugehörigen Integrationsdatensatz initiieren müssen.

    Um diese Integration zu konfigurieren und zu initiieren, navigieren Sie zu Alle > Vulnerability Response > Administration > Integrationen > OSV.dev-Integration – Umfassend. Die Rolle sn_vul.app_configure_integrations ist erforderlich.

    Sie können importierte Daten auf der Homepage des -Arbeitsbereichs auf der Registerkarte Schwachstelle in Datensätzen aus der Liste der Entitäten und im Modul Bibliotheken anzeigen. Importierte Daten werden in den Tabellen „Einträge für angreifbare Elemente in der Anwendung“ [sn_vul_app_vul_entry] und „Einträge in National Vulnerability Database“ [sn_vul_nvd_entry] gespeichert.

    Hinweis:
    Sie können den Integrationsparameter von OSV.dev batchSize auf der Registerkarte Integrationsparameter in der Open Source-Schwachstelleninstanz unter konfigurieren Alle > Vulnerability Response > Administration > Integrationen > Schwachstellen-Integrationen > Open Source-Schwachstelleninstanz. Der Standardwert ist 75 PURLs pro API-Aufruf.

    Unter Umständen möchten Sie diesen Wert in der Standardeinstellung beibehalten. Das Ändern des Werts kann sich auf die Leistung auswirken.

    PaCE wird aktiviert

    Ab Version 4.0 von SBOM Response können Sie Komponenten, die als veraltet oder verworfen als „Nicht konform“ gekennzeichnet sind, in der Schnittstelle Policy as Code Engine (PaCE) anzeigen, die im Arbeitsbereich SBOM verfügbar ist.

    • Ermitteln Sie mit der geplanten Aufgabe Run PaCE policies for SBOM Response, ob Komponenten veraltet oder verworfen sind. Diese geplante Aufgabe ist standardmäßig deaktiviert.
    • Zeigen Sie Komponenten an, die in der PaCE-Schnittstelle, die im -Arbeitsbereich SBOM verfügbar ist und angezeigt wird, als veraltet oder als nicht konform eingestuft wurden.

    Weitere Informationen zu PaCE und PaCE-Richtlinien finden Sie unter Integrating PaCE with other applications.