ソフトウェア部品表 の詳細

  • リリースバージョン: Xanadu
  • 更新日 2024年08月30日
  • 所要時間:8分

    • インスタンスにアップロードする ソフトウェア部品表 (SBOM) ファイルから、組織のアプリケーションで使用されているコンポーネントを特定します。オープンソースソフトウェアの使用に関連するリスクを理解して、潜在的なエクスポージャーを判断し、脆弱性を修正するのに役立ちます。

    利用可能なソフトウェア部品表のバージョン

    リリースバージョン リリースノート
    SBOMデータモデル

    v2.0、v1.4、v1.3、v1.1、v1.0

    互換性情報については、「KB0856498 脆弱性対応互換性マトリクスおよびリリーススキーマの変更」を参照してください。

    Application Vulnerability Response release notes
    SBOM Core

    v4.0、v3.0、v2.1、v2.0、v1.0
    SBOM Response

    v4.0、v3.2、v3.1、v3.0、v2.0

    SBOM のユースケース

    テーブルに記載されているバージョン以降、継続的統合や継続的デリバリ / 展開 (CI/CD) のパイプラインから SBOM ファイルをアップロードする場合におけるソフトウェア開発運用 (DevOps) のユースケースがサポートされています。詳細については、「DevOps SBOM ファイルの ソフトウェア部品表 のアップロード」を参照してください。
    リリースバージョン アプリケーション
    v1.4 以降 SBOMデータモデル
    v3.0 以降 SBOM Core
    v4.0 以降 SBOM Response

    サードパーティおよびオープンソースのコンポーネントには、ソフトウェアプロジェクトを迅速に作成してリリースするための多くのメリットがあります。ただし、場合によっては、公開されているコンポーネントの使用に関連する次のようなリスクがあります。

    • コンポーネントの完全性の可視化の欠如
    • オープンソースソフトウェアの脆弱性
    • オープンソースソフトウェアのパッケージインテリジェンス
    次の 3 つの ソフトウェア部品表 アプリケーションで、ソフトウェアコンポーネントの正確なインベントリや関連するリスクを表示できます。
    • SBOMデータモデル
    • SBOM Core
    • SBOM Response

    ソフトウェア部品表ファイルは、API を介して、または手動でアップロードできます。エンティティとしてインポートしたファイルを表示します。これは、ソフトウェアで使用されているサードパーティコンポーネントライブラリのインベントリであり、推移的な依存関係を含みます。

    CycloneDX および SPDX SBOM のソフトウェアインベントリに含まれるものの詳細については、「CycloneDX - ソフトウェア部品表 (SBOM)」および「SPDX」を参照してください。

    SBOMデータモデル

    このアプリケーションは、SBOM データの格納に使用するテーブルを提供します。

    SBOM Core

    SBOM Core v3.0 以降、CycloneDX および SPDX 標準のソフトウェア部品表ファイルがアップロード、解析、処理されます。これらの製品でサポートされているファイル形式やバージョンについては、次のテーブルを参照してください。部品表 (BOM) エンティティとソフトウェアコンポーネントのインベントリを表示します。BOM エンティティは、SBOM ファイルのルートレベルコンポーネントです。たとえば、CycloneDX SBOM の場合、メタデータにリストされているコンポーネントは BOM エンティティと見なされます。

    SBOM Core のバージョン サポートされている CycloneDx および SPDX のバージョン
    v4.0

    CycloneDx の XML と JSON (バージョン 1.0~1.6)

    SPDX の JSON (バージョン 2.2~2.3)
    v3.0

    CycloneDX の XML と JSON (バージョン 1.4 以前)

    SPDX の XML (v2.3 以前)

    CycloneDX 形式をサポートする拡張機能について、詳細はREST API を使用したソフトウェア部品表ファイルのアップロード「REST API の使用」のセクションを参照してください。

    SBOM Core v4.0 以降、GitHub リポジトリから SBOMファイルを Now Platform® にアップロードできます。

    CI/CD (継続的統合および継続的デリバリ/展開) パイプラインで生成された SBOM ファイルが、Now Platform® インスタンスで正常にキューに入れられているかどうかを確認します。

    • GitHub 環境から開始する GitHub アクションを使用して、ソフトウェア開発サイクル中に潜在的に有害なコンポーネントから環境を保護します。
    • GitHub マーケットプレイスで SBOM アップロードに必要な GitHub アクションを取得します。

    SBOM Response

    コンポーネントのインベントリを表示し、SBOM ワークスペースでリスクエクスポージャーを評価します。既知の脆弱性がソフトウェアコンポーネントに関連しているかどうかを特定し、ライセンス情報とバージョン情報をその他の詳細とともに表示できます。

    ServiceNow® SBOM アプリケーションの詳細については、次の表を参照してください。

    表 : 1. SBOM に必要なアプリケーション
    ServiceNow アプリケーション 説明
    SBOMデータモデル このアプリケーションは必須です。SBOM データを読み取るために必要なテーブル、ACL、およびロールが含まれています。
    SBOM Core このアプリケーションは必須です。SBOM ドキュメントをアップロードするために必要な API と、それらのドキュメントからデータを解析してインスタンスにインポートするために必要なビジネスロジックが含まれています。v2.1 以降、SBOM ワークスペースでソフトウェアコンポーネントのインベントリを表示できます。
    SBOM Response
    SBOM Response v4.0 以降、SBOM ワークスペースで使用可能な [ポリシーアズコードエンジン (PaCE)] インターフェイスで、「古い」と識別されているコンポーネントや「非準拠」として破棄されたコンポーネントを表示できます。
    • [SBOM Response 用の PaCE ポリシーを実行 (Run PaCE policies for SBOM Response)] スケジュール設定済みジョブを使用して、コンポーネントが「古い」か「破棄」かを判断します。このスケジュール済みジョブは、デフォルトでは非アクティブです。
    • SBOM ワークスペースで使用可能な PaCE インターフェイスで、「古い」と識別されているコンポーネントや「非準拠」として破棄されたコンポーネントを表示します。

    SBOM Response では 脆弱性対応 アプリケーションが必要です。脆弱性対応 アプリケーションをインストールしてから SBOM Response をインストールします。

    コンポーネントのインベントリを表示し、SBOM ワークスペースでリスクエクスポージャーを評価します。アプリケーション脆弱性一致アイテム (AVIT) を自動的に作成し、アプリケーション脆弱性対応ワークフローで修復するためのルールを設定します。

    OSV.dev と Deps.dev の統合は、SBOM Response のインストール時に組み込まれます。

    • OSV.dev は、パッケージまたはライブラリの特定のバージョンの脆弱性インテリジェンス情報を提供するオープンソース API です。
    • Deps.dev は、特定のパッケージまたはライブラリのバージョンリストを提供するオープンソース API です。
    サポートされているサードパーティの脆弱性インテリジェンスとその他の統合をインストールすると、古いと見なされて破棄されたコンポーネントの数と、コンポーネントに関連する脆弱性を修正できるかどうかに関する情報を表示できます。次のテーブルにリストされている ServiceNow® アプリケーションとサードパーティ統合は、SBOM アプリケーションでサポートされています。これらのアプリケーションは、強化された脆弱性データ、脆弱性インテリジェンス、および SBOM ファイルに関連する脆弱性を表示して優先順位を付けるのに役立つその他の重要な情報を提供します。これらのアプリケーションと統合はすべて、ServiceNow Store から入手できます。
    表 : 2. SBOM でサポートされているサードパーティアプリケーション
    アプリケーション 説明
    脆弱性対応 SBOM Response アプリケーションをインストールする場合は必須です。アプリケーション脆弱性対応 機能は 脆弱性対応 と併せてインストールされます。これらの機能を使用すると、脆弱性対応 アプリケーションの脆弱性マネージャーワークスペースと脆弱性ワークフローにアクセスして、アプリケーション脆弱性一致アイテム (AVIT) を修復することができます。
    NVD の脆弱性対応統合 拡張された NVD 脆弱性と重大度のデータを表示します。SBOM Response をインストールしている場合は、NVD 統合と CWE 統合からインポートされたデータを表示して、SBOM データで検出される脆弱性データを強化できます。

    詳細については、「NVD と CWE の統合によるデータのインポートとサードパーティライブラリの管理」を参照してください。
    Veracode 脆弱性統合
    Veracode 脆弱性統合 のバージョン 4.3 では、Veracode SBOM ファイルで以下の機能拡張が行われています。
    • SBOM Response がインストールされている場合、アップロードする SBOM ファイルに Veracode で検出された脆弱性を含めることができます。
    • Veracode は、アップロードする Veracode SBOM ファイルの部品表の [sn_sbom_doc] テーブルにあるレコードの [ソース] フィールドにマッピングされます。

    Veracode 脆弱性統合を使用してソフトウェア部品表ファイルをインポートします。SBOM Core v3.0 以降、この統合が既にインストールされている場合、インポートされた Veracode SBOM データを CycloneDX (JSON や XML) および SPDX (XML) 形式でアップロードすることもできます。