Explorer Nomenclature logicielle
Identifiez les composants utilisés dans les applications de votre organisation à partir des Nomenclature logicielle fichiers (SBOM) que vous chargez dans votre instance. Comprenez les risques associés à l’utilisation de logiciels open source pour vous aider à déterminer votre exposition potentielle, afficher la conformité de la licence et corriger les vulnérabilités.
Vue d'ensemble de Nomenclature logicielle
Les composants tiers et open source vous offrent de nombreux avantages pour la création et la mise en production rapides de vos projets logiciels. Cependant, dans certains cas, il existe des risques associés à l’utilisation de composants accessibles au public, tels que les suivants :
- Manque de visibilité sur l’intégrité des composants
- Vulnérabilités dans le logiciel open source
- Package Intelligence pour les logiciels open source
- Licences de logiciels non conformes
Vous pouvez télécharger vos fichiers de nomenclature logicielle via une API ou manuellement. Affichez les fichiers que vous importez en tant qu’entités, qui sont des inventaires des bibliothèques de composants tiers utilisées dans votre logiciel, y compris les dépendances transitives et les informations de gestion des licences disponibles.
Pour plus d’informations sur ce qui est inclus dans les inventaires logiciels dans les nomenclatures logicielles CycloneDX et SPDX, voir CycloneDX - nomenclature logicielle (SBOM) et SPDX.
Nomenclature logicielle utilisateurs
| Utilisateur | Description |
|---|---|
| Gestionnaires et analystes de vulnérabilité | Affichez les fichiers de nomenclature logicielle chargés dans les enregistrements, les visualisations de données, ainsi que des renseignements améliorés sur les vulnérabilités dans l’espace de Nomenclature logicielle travail (SBOM). Les gestionnaires de vulnérabilité et les analystes utilisent ces informations pour les aider à déterminer la conformité de vos licences logicielles et l’exposition potentielle aux risques liés à l’utilisation de logiciels open source. |
Utilisateurs qui peuvent inclure, mais sans s’y limiter :
|
Affichez les licences de logiciels propriétaires et open source téléchargées pour les composants de vos fichiers chargés SBOM . Créez une base de données de licences logicielles propriétaires et open source pour les composants. Examinez et classez les licences avec des informations manquantes conformément à vos politiques internes ou réglementaires. Faites correspondre vos composants aux licences, déterminez la conformité globale de vos licences et voyez votre exposition potentielle aux risques de licences interdites, restreintes ou manquantes. |
Workflow Nomenclature logicielle
Les applications SBOM vous permettent de charger des fichiers et d’afficher les détails des entités, des inventaires de composants, des vulnérabilités et des informations de licence de logiciel dans l’espace de travail de nomenclature logicielle (SBOM).
- Chargez SBOM des fichiers avec une API ou manuellement.
- Examinez les composants du SBOM fichier que vous avez chargé dans l’espace de SBOM travail.
- Examinez les informations de licence de composant à partir des fichiers chargés SBOM et classez-les pour vous aider à identifier votre exposition aux licences restreintes ou interdites.
- Évaluez votre exposition au risque et créez des éléments vulnérables pour les composants qui présentent des vulnérabilités associées.
- Affichez les rapports et les tableaux de bord, ainsi que votre conformité de licence globale pour les composants chargés SBOM sur la page d’accueil de l’espace SBOM de travail.
Nomenclature logicielle avantages
- Modèle de données pour SBOM
- SBOM Core
- SBOM Réponse
Pour plus d’informations sur la compatibilité, consultez KB0856498 Changements apportés à la matrice de compatibilité de Réponse aux vulnérabilités et au schéma de mise en production.
| Avantage | Application | Versions prises en charge |
|---|---|---|
| Cette application fournit les tables utilisées pour stocker SBOM les données. Cette demande est requise. Elle comprend les tables, les ACL et les rôles requis pour lire SBOM les données. | Modèle de données pour SBOM | v4.0, v3.0, v2.0 |
| Cette demande est requise. Elle comprend l’API requise pour charger SBOM les documents et la logique métier requise pour analyser et importer les données de ces documents dans votre instance. Vous pouvez afficher un inventaire de vos composants logiciels dans SBOM l’espace de travail, mais vous ne pouvez pas afficher les visualisations de données sur la page de destination. Téléchargez, analysez et traitez vos fichiers de nomenclature logicielle dans les normes CycloneDX et SPDX. Consultez la colonne Versions prises en charge pour connaître les formats de fichier et les versions pris en charge pour ces produits. Affichez les entités de nomenclature (BOM) et un inventaire de vos composants logiciels. Une entité BOM est le composant de niveau racine d’un fichier SBOM. Par exemple, pour un CycloneDX SBOM, le composant répertorié dans les métadonnées est considéré comme l’entité BOM. |
SBOM Core |
v6.0, v5.0, v4.0 À partir de la version 4.0, SBOM Core prend en charge :
|
|
SBOM Réponse | v6.0, v5.0, v4.0 |
| Générez et chargez Nomenclature logicielle des fichiers (SBOM) pour le logiciel tout au long de ses cycles de développement d’intégration et de déploiement continus. | SBOM Réponse |
|
Réponse aux vulnérabilités applications et CSDM tables
Réponse aux vulnérabilités des applications Les Réponse aux vulnérabilités intégrations de Nomenclature logicielle vulnérabilité et les applications tierces gèrent les tables (y contribuent des données). CSDM Ces applications utilisent également des données provenant de CSDM tables générées par d’autres applications. Plusieurs ServiceNow produits bénéficient donc de ces Opérations de sécurité applications et y ajoutent de la valeur. Consultez Réponse aux vulnérabilités applications et CSDM tables pour plus d'informations.