ワークスペースの SBOM AVIT

SBOM Response アプリケーションをインストールしてアクティブ化している場合、インポートされたデータのいずれかが既存の AVIT 作成ルールの条件に一致すると、ファイルの AVIT が作成されます SBOM 。

SBOM Response および Vulnerability Response アプリケーションでは、アプリケーション脆弱性一致アイテム (AVIT) を自動的に作成し、Application Vulnerability Response ワークフローで修復するためのルールを設定する必要があります。詳細については、「ソフトウェア部品表 の詳細」を参照してください。

取りSBOM込んだデータで検出された脆弱性の AVIT を作成する前に、SBOMワークスペースに AVIT 作成ルールを追加する必要があります。AVIT を使用すると、アプリケーション内のサードパーティコンポーネントの整合性を評価できます。脆弱性が関連付けられているコンポーネントとアプリケーションが一致したときに、インスタンスに AVIT が作成されます。

SBOMワークスペースでは、SBOM AVIT のみを表示できます。ただし、Vulnerability Response の脆弱性マネージャーワークスペースでは、SBOM AVIT を他のタイプの脆弱性一致アイテムとともに表示できます。リストモジュールの SBOM ワークスペースで作成されたすべての AVIT を表示できます。リストモジュールには、すべての NVD および CWE エントリーとアプリケーション脆弱性も含まれています。

Snyk 脆弱性統合がある場合、または OSV.dev 統合を実行した場合、修正情報が利用可能な場合は、AVIT レコードの関連リストに表示されます。

National Vulnerability Database (NVD) などの既知の脆弱性リストからの推奨事項に基づいて、修復のために AVIT をアサインすることもできます。スケジュール設定済みジョブがトリガーされ、取り込まれたデータが作成ルールの条件と一致すると、AVIT が作成されます。

カスタマイズされたルールを設定することで、AVIT を追跡および修復できます。

ルールの作成方法については、「」を参照してください ワークスペースでの ソフトウェア部品表 アプリケーション脆弱性一致アイテムルールの作成 。

SBOMの AVIT Vulnerability Manager Workspace脆弱性対応

SBOMワークスペースにアクセスできる場合は、SBOMワークスペースVulnerability Manager Workspaceで作成された AVIT を表示できます。

修復タスク (AVUL) は AVIT から作成され、アサインルールに基づいて修復のためにグループに自動的にアサインされます。これらのルールの作成方法の詳細については、以下のトピックを参照してください。

• 脆弱性対応 アサインルールの作成または編集
• 「脆弱性対応 修復タスクルールの作成または編集」および「脆弱性マネージャーワークスペースでの修復作業の作成」。