SBOM ワークスペースの AVIT

SBOM Response アプリケーションをインストールしてアクティブ化している場合、インポートされたデータのいずれかが既存の AVIT 作成ルールの条件に一致すると、 SBOM ファイルの AVIT が作成されます。

SBOM Response および 脆弱性対応 アプリケーションでは、アプリケーション脆弱性一致アイテム (AVIT) を自動的に作成し、アプリケーション脆弱性対応 ワークフローで修復するためのルールを設定する必要があります。詳細については、「ソフトウェア部品表 の詳細」を参照してください。

取り込んだ SBOM データで検出された脆弱性の AVIT を作成する前に、SBOM ワークスペースに AVIT 作成ルールを追加しておく必要があります。AVIT を使用すると、アプリケーションで使用されているサードパーティコンポーネントの完全性を評価できます。脆弱性が関連付けられているコンポーネントとアプリケーションが一致したときに、インスタンスに AVIT が作成されます。

SBOM ワークスペースでは、SBOM AVIT のみを表示できます。ただし、脆弱性対応 の脆弱性マネージャーワークスペースでは、SBOM AVIT を他のタイプの脆弱性一致アイテムとともに表示できます。リストモジュールの SBOM ワークスペースで作成されたすべての AVIT を表示できます。リストモジュールには、すべての NVD エントリーおよび CWE エントリーとアプリケーション脆弱性も含まれています。

脆弱性情報データベース (NVD) などの既知の脆弱性リストからの推奨事項に基づいて、修復のために AVIT をアサインすることもできます。スケジュール済みジョブがトリガーされ、取り込まれたデータが作成ルールの条件と一致すると、AVIT が作成されます。

カスタマイズされたルールを設定することで、AVIT を追跡および修復できます。

ルールの作成方法については、「ソフトウェア部品表ワークスペースでアプリケーション脆弱性一致アイテムルールを作成する」を参照してください。

脆弱性対応のVulnerability Manager ワークスペースでの SBOM AVIT

アクセスできる場合は、Vulnerability Manager ワークスペースの SBOM ワークスペースで作成された SBOM AVIT を表示できます。

修復タスク (AVUL) は AVIT から作成され、アサインルールに基づいて修復のためにグループに自動的にアサインされます。これらのルールの作成方法の詳細については、以下のトピックを参照してください。

• 脆弱性対応 アサインルールの作成または編集
• 「脆弱性対応 修復タスクルールの作成または編集」および「脆弱性マネージャーワークスペースでの修復作業の作成」。