Explorer Nomenclature logicielle

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Identifiez les composants utilisés dans les applications de votre organisation à partir des Nomenclature logicielle fichiers (SBOM) que vous chargez dans votre instance. Comprenez tous les risques associés à l’utilisation de logiciels open source pour vous aider à déterminer votre exposition potentielle et à corriger les vulnérabilités.

    Versions disponibles Nomenclature logicielle

    Version Notes de publication
    Modèle de données pour SBOM

    v1.3, v1.1, v1.0

    Pour plus d’informations sur la compatibilité, consultez KB0856498 matrice de compatibilité de Vulnerability Response et changements de schéma de mise en production

    Application Vulnerability Response release notes
    SBOM Core

    v2.1, v2.0, v1.0
    SBOM Réponse

    v3.1, v3.0, v2.0

    Cas d'utilisation d'SBOM

    Les composants tiers et open source vous offrent de nombreux avantages pour la création et la publication rapides de vos projets logiciels. Toutefois, dans certains cas, il existe des risques associés à l’utilisation de composants accessibles au public, tels que les suivants :

    • Manque de visibilité sur l’intégrité des composants
    • Vulnérabilités dans le logiciel
    • Conformité de la gestion des licences
    Trois Nomenclature logicielle applications vous permettent d’afficher un inventaire précis de vos composants logiciels :
    • Modèle de données pour SBOM
    • SBOM Core
    • SBOM Réponse

    Vous pouvez télécharger vos fichiers de nomenclature logicielle via une API ou manuellement. Affichez les fichiers que vous importez en tant qu’entités, qui sont des inventaires des bibliothèques de composants tierces utilisées dans votre logiciel, y compris toutes les dépendances transitives. Pour plus d’informations sur ce qui est inclus dans les inventaires logiciels dans les SBOM CycloneDX, consultez CycloneDX - Nomenclature logicielle (SBOM).

    Modèle de données pour SBOM

    Cette application fournit les tables utilisées pour stocker les données SBOM.

    SBOM Core

    Chargez, analysez et traitez vos fichiers de nomenclature logicielle au format CycloneDXJSON dans votre Now Platform® instance. Affichez les entités de nomenclature (BOM) et un inventaire de vos composants logiciels. Une entité BOM est le composant de niveau racine d’un fichier SBOM. Par exemple, pour un SBOM CycloneDX, le composant répertorié dans les métadonnées est considéré comme l’entité BOM.

    SBOM Réponse

    Affichez votre inventaire de composants et évaluez votre exposition aux risques dans l’espace de travail SBOM. Vous pouvez identifier si des vulnérabilités connues sont associées aux composants logiciels et afficher les informations de gestion des licences et de version, ainsi que d’autres détails.

    Reportez-vous au tableau suivant pour plus d’informations sur chaque ServiceNow® application SBOM.

    Tableau 1. Applications requises pour SBOM
    Application ServiceNow Description
    Modèle de données pour SBOM Cette application est requise. Elle comprend les tables, les ACL et les rôles requis pour lire SBOM les données.
    SBOM Core Cette application est requise. Cela inclut l’API requise pour charger SBOM des documents et la logique métier requise pour analyser et importer les données de ces documents dans votre instance. À partir de la version 2.1, vous pouvez afficher un inventaire de vos composants logiciels dans l’espace de travail SBOM.
    SBOM Réponse

    L’application Vulnerability Response est requise si vous installez l’application SBOM Response. Installez Vulnerability Response avant d’installer SBOM Response.

    Affichez votre inventaire de composants et évaluez votre exposition aux risques dans l’espace de travail SBOM. Configurez des règles pour créer automatiquement des éléments vulnérables de l’application (AVIT) et corrigez-les avec le workflow Application Vulnerability Response.

    Les intégrations OSV.dev et Deps.dev sont incluses lorsque vous installez SBOM Response.

    • OSV.dev est une API open source qui fournit des informations de renseignements sur les vulnérabilités pour une version donnée d’un package ou d’une bibliothèque.
    • Deps.dev est une API open source qui fournit une liste de versions pour un package ou une bibliothèque donnée.

    L’installation de la fonctionnalité Vulnerability Intelligence tierce prise en charge et d’autres intégrations vous permet d’afficher le nombre de composants considérés comme périmés et abandonnés, ainsi que des informations sur la possibilité de corriger les vulnérabilités associées aux composants. Les ServiceNow® applications et intégrations tierces répertoriées dans le tableau suivant sont prises en charge par l’application SBOM . Ces applications vous fournissent des données de vulnérabilité enrichies, des renseignements sur la vulnérabilité et d’autres informations clés qui peuvent vous aider à afficher et à classer les vulnérabilités associées aux SBOM fichiers. Toutes ces applications et intégrations sont disponibles depuis le ServiceNow Store.
    Tableau 2. Autres applications prises en charge pour SBOM
    Application Description
    Réponse aux vulnérabilités nécessaire si vous installez l’application SBOM Response. Les fonctionnalités d’Application Vulnerability Response sont installées avec Vulnerability Response. Ces fonctionnalités permettent d’accéder à l’espace de travail Vulnerability Manager dans l’application Vulnerability Response et au workflow de vulnérabilité pour vous aider à corriger les éléments vulnérables de l’application (AVIT). Fournit l’accès à la base de données de vulnérabilité nationale (NVD), à l’énumération des faiblesses courantes (CWE) et aux données de vulnérabilité des applications tierces.
    Tâches planifiées Vulnerability Response Integration with NVD et CWE Affichez des données améliorées sur la vulnérabilité et la gravité NVD. Si vous avez installé SBOM Response, vous pouvez afficher les données importées à partir des intégrations NVD et CWE pour enrichir toutes les données de vulnérabilité que vous pourriez trouver dans vos SBOM données.

    Consultez Importer des données avec les intégrations NVD et CWE et gérer des bibliothèques tierces pour plus d'informations.
    Intégration de vulnérabilité Veracode Importez des fichiers de nomenclatures logicielles à l’aide du Veracode Vulnerability Integrationfichier . Si cette intégration est déjà installée, vous pouvez également charger les données Veracode SBOM importées au format JSON CycloneDX.