Explorer Nomenclature logicielle

  • Rversion finale: Xanadu
  • Mis à jour 30 août 2024
  • 6 minutes de lecture

    • Identifiez les composants utilisés dans les applications de votre organisation à partir des Nomenclature logicielle fichiers (SBOM) que vous chargez dans votre instance. Comprenez tous les risques associés à l’utilisation de logiciels open source pour vous aider à déterminer votre exposition potentielle et à corriger les vulnérabilités.

    Versions disponibles Nomenclature logicielle

    Version Notes de publication
    Modèle de données pour SBOM

    v 2.0, v1.4, v1.3, v1.1, v1.0

    Pour plus d’informations sur la compatibilité, consultez Matrice de compatibilité de KB0856498 Vulnerability Response et Changements de schéma de mise en production

    Application Vulnerability Response release notes
    SBOM Core

    v4.0, v3.0, v2.1, v2.0, v1.0
    SBOM Réponse

    v4.0, v3.2, v3.1, v3.0, v2.0

    Cas d'utilisation d'SBOM

    À partir des versions répertoriées dans la table, les cas d’utilisation des opérations de développement logiciel (DevOps) pour le SBOM chargement de fichiers à partir de pipelines d’intégration continue et de livraison/déploiement en continu (CI/CD) sont pris en charge. Consultez Chargement des Nomenclature logicielle fichiers DevOps SBOM pour plus d'informations.
    Version Application
    v1.4 et versions ultérieures Modèle de données pour SBOM
    v3.0 et versions ultérieures SBOM Core
    v4.0 et versions ultérieures SBOM Réponse

    Les composants tiers et open source vous offrent de nombreux avantages pour la création et la publication rapides de vos projets logiciels. Toutefois, dans certains cas, l’utilisation de composants accessibles au public présente des risques, tels que les suivants :

    • Manque de visibilité sur l’intégrité des composants
    • Vulnérabilités dans le logiciel open-source
    • Package Intelligence pour les logiciels open source
    Trois Nomenclature logicielle applications vous permettent de visualiser un inventaire précis de vos composants logiciels et des risques associés :
    • Modèle de données pour SBOM
    • SBOM Core
    • SBOM Réponse

    Vous pouvez télécharger vos fichiers de nomenclature logicielle via une API ou manuellement. Affichez les fichiers que vous importez en tant qu’entités, qui sont des inventaires des bibliothèques de composants tiers utilisées dans votre logiciel, y compris les dépendances transitives.

    Pour plus d’informations sur ce qui est inclus dans les inventaires logiciels dans les SBOM CycloneDX et SPDX, consultez CycloneDX - Nomenclature logicielle (SBOM) et SPDX.

    Modèle de données pour SBOM

    Cette application fournit les tables utilisées pour stocker les données SBOM.

    SBOM Core

    À partir de la version 3.0 de SBOM Core, chargez, analysez et traitez vos fichiers de nomenclature logicielle dans les normes CycloneDX et SPDX. Reportez-vous au tableau suivant pour connaître les formats de fichiers et les versions pris en charge pour ces produits. Affichez les entités de nomenclature (BOM) et un inventaire de vos composants logiciels. Une entité BOM est le composant de niveau racine d’un SBOM fichier. Par exemple, pour une nomenclature logicielle CycloneDX, le composant répertorié dans les métadonnées est considéré comme l’entité BOM.

    Version de SBOM Core Versions prises en charge de CycloneDx et SPDX
    v4.0

    XML et JSON dans CycloneDx (versions 1.0 - 1.6)

    JSON dans SPDX (versions 2.2-2.3)
    v3.0

    XML et JSON dans CycloneDX (jusqu’à la version 1.4 incluse)

    XML dans SPDX (jusqu’à la version 2.3 incluse)

    Reportez-vous à la section intitulée Utilisation de l’API REST dans Chargement de Nomenclature logicielle fichiers à l’aide d’une REST API pour plus d’informations sur les améliorations apportées à la prise en charge du format CycloneDX.

    À partir de la version 4.0 de SBOM Core, vous pouvez télécharger SBOM des fichiers dans vos Now Platform®GitHub référentiels.

    Déterminez si SBOM les fichiers générés dans vos pipelines CI/CD (intégration continue et livraison/déploiement continus) ont été correctement mis en file d’attente dans votre Now Platform® instance.

    • Protégez vos environnements contre les composants potentiellement dangereux pendant les cycles de développement logiciel avec GitHub les actions que vous lancez à partir de votre GitHub environnement.
    • Obtenez toutes les actions requises GitHub pour SBOM le chargement dans GitHub Marketplace.

    SBOM Réponse

    Affichez l’inventaire de vos composants et évaluez votre exposition aux risques dans l’espace de travail SBOM. Vous pouvez identifier si des vulnérabilités connues sont associées aux composants logiciels et afficher les informations de gestion des licences et de version, ainsi que d’autres détails.

    Consultez le tableau suivant pour plus d’informations sur chaque ServiceNow® application SBOM.

    Tableau 1. Applications requises pour SBOM
    Application ServiceNow Description
    Modèle de données pour SBOM Cette application est requise. Il comprend les tables, les ACL et les rôles requis pour lire SBOM les données.
    SBOM Noyau Cette application est requise. Il comprend l’API requise pour charger SBOM les documents et la logique métier requise pour analyser et importer les données de ces documents dans votre instance. À partir de la version 2.1, vous pouvez afficher un inventaire de vos composants logiciels dans SBOM Workspace.
    SBOM Réponse
    À partir de la version 4.0 de Response, vous pouvez afficher les composants identifiés comme périmés ou abandonnés comme « non conformes » dans l’interface Policy as Code Engine (PaCE) disponible dans l’espaceSBOM de SBOM travail.
    • Déterminez si les composants sont périmés ou abandonnés avec la tâche planifiée Exécuter les stratégies PaCE pour la réponse SBOM. La tâche planifiée est désactivée par défaut.
    • Affichez les composants identifiés comme périmés ou abandonnés comme non conformes dans l’interface PaCE disponible dans l’espace de travail SBOM.

    SBOM La réponse nécessite l’application Réponse aux vulnérabilités . Installez l’application Réponse aux vulnérabilités avant d’installer SBOM la réponse.

    Affichez l’inventaire de vos composants et évaluez votre exposition au risque dans l’espace SBOM de travail. Configurez des règles pour créer automatiquement des éléments vulnérables de l’application (AVIT) et corrigez-les avec le workflow Application Vulnerability Response.

    Les intégrations OSV.dev et Deps.dev sont incluses lors de l’installation SBOM de Response.

    • OSV.dev est une API open source qui fournit des informations de renseignements sur la vulnérabilité pour une version donnée d’un package ou d’une bibliothèque.
    • Deps.dev est une API open source qui fournit une liste de versions pour un package ou une bibliothèque donnée.
    L’installation de l’intelligence de vulnérabilité tierce prise en charge et d’autres intégrations vous permet d’afficher le nombre de composants considérés comme périmés et abandonnés, ainsi que des informations indiquant si vous pouvez corriger les vulnérabilités associées aux composants. Les ServiceNow® applications et intégrations tierces répertoriées dans le tableau suivant sont prises en charge par l’application SBOM . Ces applications vous fournissent des données de vulnérabilité enrichies, des renseignements sur les vulnérabilités et d’autres informations clés qui peuvent vous aider à afficher et à hiérarchiser les vulnérabilités associées aux SBOM fichiers. Toutes ces applications et intégrations sont disponibles à partir du ServiceNow Storefichier .
    Tableau 2. Applications tierces prises en charge pour SBOM
    Application Description
    Réponse aux vulnérabilités Requis si vous installez l’application SBOM Response. Réponse aux vulnérabilités des applications Les fonctionnalités sont installées avec Réponse aux vulnérabilités. Ces fonctionnalités permettent d’accéder à l’espace de travail du gestionnaire de vulnérabilités dans l’application Réponse aux vulnérabilités et au workflow de vulnérabilité pour vous aider à corriger les éléments vulnérables de l’application (AVIT).
    Intégration de Vulnerability Response avec NVD Affichez des données améliorées sur la vulnérabilité et la gravité NVD. Si vous avez installé SBOM Response, vous pouvez afficher les données importées à partir des intégrations NVD et CWE pour enrichir toutes les données de vulnérabilité que vous pourriez trouver dans vos SBOM données.

    Consultez Importation de données avec les intégrations NVD et CWE et gestion des bibliothèques tierces pour plus d'informations.
    Veracode Vulnerability Integration
    La version 4.3 de la Veracode Vulnerability Integration inclut les améliorations suivantes avec Veracode SBOM les fichiers :
    • Si vous avez installé SBOM Response, vous avez la possibilité d’inclure les vulnérabilités trouvées par Veracode pour les fichiers SBOM que vous téléchargez.
    • Veracode est mappé au champ Source des enregistrements de la table Nomenclature [sn_sbom_doc] pour les Veracode fichiers SBOM que vous chargez.

    Importez des fichiers de nomenclature logicielle avec le Veracode Vulnerability Integrationfichier . Si cette intégration est déjà installée, vous pouvez également télécharger les données importées Veracode SBOM aux formats CycloneDX (JSON et XML) et SPDX (XML) à partir de la version v3.0 de SBOM Core.