これらのアプリケーションを使用すると、SBOM ファイルをインスタンスにアップロードおよびインポートできます。SBOM Core がインストールされている場合は、SBOM ワークスペースで BOM エンティティやコンポーネントデータを表示することができます。

SBOM Response がインストールされている場合は、SBOM ワークスペースで BOM エンティティ、コンポーネントデータ、データ可視化を表示することができます。

• SBOMデータモデル
• SBOM Core

• 脆弱性対応 とその依存関係
• NVD の脆弱性対応統合
• SBOM Response

これらおよびその他のサポートされている SBOM アプリケーションの詳細については、「ソフトウェア部品表 の探索」を参照してください。

アプリケーションが正常にアクティブ化されると、メッセージが表示されます。以下の順序でプラグインを有効にします。

• 脆弱性対応 とその依存関係
• NVD の脆弱性対応統合
• SBOMデータモデル
• SBOM Core
• SBOM Response。OSV.dev と Deps.dev の統合が含まれており、SBOM ワークスペースのポリシーアズコードエンジン (PaCE) のインターフェイスをサポートします。

SBOM Response のインストール後におけるこれらの統合アプリケーションの構成について、詳細は ソフトウェア部品表 での Deps.dev、OSV.dev、PaCE 統合の構成 を参照してください。

これらの統合と提供される機能の詳細については、「ソフトウェア部品表 の探索」を参照してください。

• Vulnerability Response Integration with Veracode。詳細については、「ServiceNow Vulnerability Response Integration with Veracode のインストール」を参照してください。
• NVD の脆弱性対応統合は、アップロードされたコンポーネントに関連付けられている脆弱性の拡張データを表示する場合に必要です。詳細については、「NVD 統合の概要」を参照してください。
• CWE Comprehensive 2000 Integration。このスケジュール済みジョブのアクティブ化の詳細については、「CWE レコードの更新のためのスケジュール済みジョブの構成および実行」を参照してください。

アプリケーションが正常にアクティブ化されると、メッセージが表示されます。

• sn_sbom_dm.app_create
• sn_sbom_dm.app_read
• sn_sbom_dm.app_write
• sn_sbom_core.sbom_ingest
• sn_sbom_core.admin
• sn_sbom_resp.sbom_analyst
• sn_sbom_resp.manage_avi_rule
• sn_sbom_response.managelicense
• sn_sbom_response.licenseresolver

アプリセキュリティマネージャーグループにアサインされたユーザーは、アプリケーション脆弱性一致アイテムに優先順位を付けて管理します。このグループのユーザーは、レコードの読み取りと編集、およびアプリケーションとその修復ワークフローでサポートされている アプリケーション脆弱性対応 アプリケーションの設定に必要な多くのロールを継承します。

次の条件が存在する場合、関連する脆弱性を有するコンポーネントで [クローズ済み] となっていたアプリケーション脆弱性一致アイテム (AVIT) のステータスが自動的に再オープンされ ([オープン] に設定)、SBOM ワークスペースで確認できるようになります。

• サードパーティ統合の脆弱性スキャンにより脆弱性に関連する AVIT が再度検出された場合、または後の SBOM のアップロードにおいて脆弱性を有するコンポーネントが含まれていた場合。
• [検出された場合に AVIT を再オープンする (Reopen AVITs if detected)] (sn_sbom_resp.reopen_avits_if_detected) システムプロパティが非アクティブ化されていない。このシステムプロパティはデフォルトでアクティブ化されています。
• クローズ済み AVIT のサブステートが、「コントロールの緩和を実施」、「影響なし」、「誤検出」 のいずれでもない。これらのサブステートの AVIT は、システムプロパティによって再オープンされません。