ソフトウェア部品表ワークスペースでのホームページの確認

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:4分

    • アップロードされたデータは、ソフトウェア部品表 (SBOM) ワークスペースのランディング (ホーム) ページの可視化にロールアップされます。ファイルのアップロード後にデータが変更されるため、脆弱性アナリストは傾向を確認し、コンポーネントに関する現在の情報を確認できます。

    ホームページの表示

    必要なロール:
    • SBOM Core v2.1 以降:sn_sbom_resp.sbom_analyst
    • SBOM Core v2.1 以前:sn_sbom_resp.admin
    1. 移動先 ワークスペース > SBOM ワークスペース.デフォルトでは、ランディングページ (ホーム) が表示されます。

      モジュールに表示されるアプリケーションは、インストールしたアプリケーションによって異なります。

      SBOM Response v3.2 以降、インポートデータはライブクエリで計算および入力されません。[ホーム] および [コンポーネント] ページのスコアは毎日 1 回更新され、レポートのパフォーマンスが強化されています。この機能拡張により、 SBOM ワークスペース

      の [ホーム] および [コンポーネント] モジュールのスコアカードにおけるロード時間が短縮される可能性があります。

      データの保存方法や保存場所への影響はありません。

      インストール済みアプリケーション 説明
      SBOM Core をインストールしている場合

      v2.1 以降では、BOM エンティティのリストです。リストには、各エンティティの名前、分類子 (アプリケーション、コンテナ、ライブラリなど)、およびコンポーネント数が含まれます。BOM エンティティは、SBOMドキュメントが生成およびアップロードされた、SBOM ファイルのルートレベルのコンポーネントを参照します。

      v2.1 以前では、[SBOM Core] > [BOM 取り込みステータス (BOM Ingestion Status)] に移動して BOM エントリーのリストを表示します。
      SBOM Response をインストールしている場合 、次のデータの可視化が表示されます。
      • すべての BOM エントリ - タイプ (アプリケーション、コンテナ、ライブラリ、およびその他) 別の BOM エンティティのブレークダウン。BOM エンティティは、SBOMドキュメントが生成およびアップロードされた、SBOM ファイルのルートレベルのコンポーネントを参照します。
      • 脆弱性のある BOM エンティティ - 依存するコンポーネントに脆弱性が関連付けられているエンティティ。エンティティの依存関係に少なくとも 1 つの重大な脆弱性がある場合、エンティティの重大度は重大と見なされます。
      • アクティブな AVI - 毎日作成されるアプリケーション脆弱性一致アイテム (AVI) の数の傾向。

      データの可視化には、過去 30 日間のデータが表示されます。30 日間の範囲は編集できません。このデータは、アプリケーション脆弱性一致アイテムの作成ルールを確認して設定した後に利用可能になります。詳細については、「ソフトウェア部品表ワークスペースでアプリケーション脆弱性一致アイテムのルールを作成する」を参照してください。

    2. データ可視化カードを選択すると、そのレコードリストが表示されます。
    3. [ホーム] タブを選択してランディングページに戻ります。
    4. [BOM エンティティ (BOM Entities)] リストでレコードを選択します。

      エンティティ名とバージョンがレコードの上部に表示されます (例:SNC-SECOPS-SIR2.0)。

    5. エンティティレコードのタブを選択して、データを確認します。
      1. 選択されていない場合は、[概要] タブを選択します。
        データを確認します。このレコードのフィールドにデータが入力されていない場合、アップロードした SBOM ファイルにデータが含まれていません。
        名前 説明
        名前 エンティティ名。
        分類子 エンティティタイプ (アプリケーション、コンポーネント、ライブラリなど)。
        バージョン エンティティのバージョン番号。
        サプライヤー エンティティを提供した製品。
        製品モデル 既存の製品モデルがない場合、または API を介した SBOM のアップロード時に製品モデルを含めない場合は、製品モデルが作成されます。エンティティの名前は、製品モデルレコードに使用されます (例:SNC-SECOPS-SIR2.0)。
      2. [依存先] タブを選択します。

        このエンティティのすべての依存関係と分類子 (Library など) が一覧表示されます。バージョン番号、ライセンス、およびその他の情報が表示されます。

        このリストのリンクを選択すると、レコードが開きます。そのタブは、[ホーム] タブと [エンティティレコード] タブの下に表示されます。開いたレコードには、概要、ハッシュ、BOM エンティティ、脆弱性、およびアプリケーション脆弱性一致アイテム (AVIT) のレビュー可能な関連リストが含まれている場合があります。

        [BOM エンティティ] 関連リストには、このアイテムが使用されているすべてのエンティティが表示されます。

      3. [脆弱性] タブを選択して、このエンティティの依存関係に関連付けられている脆弱性を確認します。

        表示されるエンティティの脆弱性の詳細については、「ソフトウェア部品表ファイルのアップロードステータスの表示」を参照してください。

      4. [AVI] タブを選択して、このエンティティに対するアプリケーション脆弱性一致アイテムがあるかどうかを表示します。