Examen du module Composants dans l’espace de Nomenclature logicielle travail

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Le module Composants de l’espace Nomenclature logicielle de travail (SBOM) affiche les informations actuelles sur les combinaisons vulnérables, périmées, abandonnées et à haut risque pour les composants que vous importez.

    Affichage du module Composants

    Rôle requis : sn_sbom_resp.sbom_analyst

    Accédez à la Espaces de travail > Espace de travail SBOM > Composants.

    Ce que vous pouvez voir dans le module dépend des applications que vous avez installées.

    Les données importées ne sont pas calculées et renseignées par des requêtes en direct. Les scores des pages Accueil et Composants sont mis à jour une fois par jour avec des améliorations des performances pour le reporting. Cette amélioration peut vous fournir des temps de chargement plus rapides pour les tableaux de résultats sur les modules Accueil et Composants de l’espace SBOM de travail.

    Ces améliorations n’ont aucun impact sur la façon dont les données sont stockées ni sur l’endroit où elles sont stockées.

    Application installée Description
    Si vous avez installé SBOM Core Un inventaire de tous les composants chargés qui comprend les informations suivantes :
    • Nom
    • Description
    • Version
    • Nombre d'entités BOM
    Si vous avez installé SBOM Réponse Sélectionnez un graphique ou un nombre sur le graphique pour afficher une liste des enregistrements associés.
    Tous les composants
    La liste des composants périmés et abandonnés , ainsi que ceux ayant au moins une vulnérabilité dans votre nombre total de composants. Ces dénombrements peuvent vous aider à identifier les composants qui nécessitent votre attention. Ces sous-ensembles de composants peuvent ne pas correspondre à votre nombre total de composants, car tous vos composants peuvent ne pas correspondre à ces catégories.
    • La version d’un composant périmé a plus de deux versions majeures de retard sur la dernière version et deux ans de retard sur la dernière version.
    • Un composant abandonné n’a pas été mis à jour depuis plus de deux ans.
    • Les composants vulnérables sont des composants qui présentent des vulnérabilités avec une gravité élevée ou supérieure.
    Combinaisons à haut risque

    Les composants à haut risque peuvent nécessiter votre attention immédiate. L’intégration Deps.dev, qui est installée lorsque vous installez l’application SBOM Response, fournit l’intelligence des packages pour les composants ayant les états périmé et abandonné .

    Les combinaisons importées à haut risque sont composées de composants périmés et abandonnés présentant au moins une vulnérabilité grave (critique ou élevée) que vous pouvez corriger par des mises à jour, un remplacement ou un autre type de réparation. Le statut Entièrement réparable signifie qu’un composant dispose d’une version disponible qui peut le corriger. Le pourcentage du nombre total de composants à haut risque qui ont des versions réparables est noté.

    Réparabilité des composants vulnérables
    Totaux et répartitions des composants avec des vulnérabilités critiques, élevées, moyennes et faibles et si certaines ou toutes leurs vulnérabilités peuvent être corrigées. Si un composant a plusieurs vulnérabilités, la vulnérabilité la plus critique a priorité.

    L’état de la réparabilité :

    • Terminé : il existe des versions de correction pour toutes les vulnérabilités associées à la version actuelle du composant.
    • Partiel : il existe une version de correctif pour au moins une des vulnérabilités associées à la version actuelle du composant, mais pas toutes.
    Classification de licence des composants
    Totaux et répartitions des composants par classification de licence.

    La liste des composants sous les visualisations vous permet d’afficher le nom, la description, la version et le nombre d’entités. Dans le panneau de droite, vous pouvez afficher un historique de version. La version actuelle est mise en surbrillance dans l’historique des versions. Les colonnes Common Vulnerabilities and Exposure (CVE) et Fixability sont également affichées.

    Évaluer votre risque avec la connaissance des vulnérabilités

    Consultez Vérification des vulnérabilités d’une Nomenclature logicielle entité pour plus d’informations sur la façon d’examiner les données de renseignement sur les vulnérabilités dans l’espace de travail.

    Évaluation de votre risque avec la conformité de licence

    Consultez Classification des licences et résolution des licences de composants dans l’espace de Nomenclature logicielle travail pour plus d’informations sur la gestion des licences pour les données que vous importez avec vos composants et pour afficher la conformité globale de votre licence dans l’espace de travail.