Verificação de vulnerabilidades em uma entidade Lista de materiais de software

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Determine se há vulnerabilidades associadas aos componentes em um arquivo Lista de materiais de software (SBOM).

    As aplicações a seguir devem ser instaladas e ativadas para que você possa exibir as vulnerabilidades e os dados de vulnerabilidade aprimorados:
    • SBOM Resposta
    • Integração de Resposta a vulnerabilidades com trabalhos do NVD e CWE
    • Resposta a vulnerabilidades
    Para obter mais informações, consulte Exploração do Lista de materiais de software.
    Função necessária:
    • A partir da v2.1 do SBOM Core - sn_sbom_resp.sbom_analyst
    • Antes da v2.1 do SBOM Core - sn_sbom_resp.admin
    1. Navegar até Todos > Espaço de SBOM > Componentes.
    2. Antes da versão 3.1 da SBOM Response, as informações de vulnerabilidade eram exibidas por meio de uma visualização ou de um registro de componente.
      Método Ações
      Entidades da lista de materiais com visualização de vulnerabilidades Selecione o gráfico de visualização Entidades da lista de materiais com vulnerabilidades.
      • Se as vulnerabilidades estiverem associadas a este componente, os totais serão exibidos nas colunas CVE e CWE na lista. Um componente pode ter mais de uma vulnerabilidade. Se disponível, você pode verificar a coluna Fixabilidade nesta lista para entradas.
      • Se nenhuma vulnerabilidade estiver associada a este componente, essas colunas exibirão 0 ou nenhum valor para o componente.

      Se as colunas CVE, CWE e Fixibilty não forem exibidas, você poderá adicioná-las à página selecionando o ícone de engrenagem Ícone de engrenagem no canto superior direito da página e Editar colunas. Selecione-os na lista da coluna Disponível e clique em OK.
      Registro de componente
      1. Selecione um registro na lista abaixo das visualizações.
      2. Selecione a guia Vulnerabilidades no registro.
        1. Se nenhum dado for exibido, nenhuma vulnerabilidade relatada será associada ao registro.
        2. Se os dados forem exibidos, consulte Revisando o módulo Componentes no espaço Lista de materiais de software e siga as etapas no fluxo de trabalho de correção para Resposta a vulnerabilidades de aplicações para resolver a vulnerabilidade.

          Para obter mais informações, consulte Corrigindo Resposta a vulnerabilidades de aplicações vulnerabilidades.

    Como avaliar o risco com a inteligência de vulnerabilidade

    A partir da versão 3.1 da Resposta SBOM, veja mais dados de vulnerabilidade aprimorados com a Resposta SBOM nos registros do componente. Os trabalhos agendados SBOM da aplicação Response, Vulnerability Response, National Vulnerability Database (NVD) e Common Weakness Enumeration (CWE) descritos em Aplicações compatíveis devem ser instalados e ativados.

    1. Selecione a visualização Todos os componentes para exibir a lista de registros associados.
    2. Selecione um link na coluna Nome para abrir um registro.

      Os estados, obsoletos, abandonadose vulneráveis são exibidos abaixo do nome do componente. Um componente pode ter qualquer combinação desses estados. Se nenhum estado for exibido, o componente não está obsoleto, abandonado ou vulnerável.

      Revise a versão atual e a versão publicada mais recente. No painel direito, você pode exibir um histórico de versões. A versão atual é realçada no histórico de versões e sua localização na lista pode fornecer informações sobre o motivo pelo qual um componente está obsoleto, abandonadoe vulnerável. Por exemplo, você pode estar usando uma versão mais antiga de um componente.

    3. Selecione as guias relacionadas Visão geral, Hashes, Entidades da listade materiais , Vulnerabilidadese AVIs no registro.
      • Visão geral - Um resumo dos detalhes do componente.
      • Entidades da lista de materiais - Uma lista das entidades associadas a este componente.
      • Hashes - Se importados, os hashes serão exibidos.
      • Vulnerabilidades - Informações sobre vulnerabilidades conhecidas associadas a este componente. Se esta lista estiver vazia, não há vulnerabilidades conhecidas.

        Se a lista estiver preenchida, selecione a guia para exibir IDs de vulnerabilidade, resumos e outras informações de vulnerabilidade dos dados de Vulnerabilidades e exposições comuns (CVE) e Enumeração de pontos fracos comuns (CWE) associados a este registro. Os CVEs são divididos por gravidade, e os CWEs são divididos pela probabilidade de o componente ser explorado. Você pode exibir os registros de vulnerabilidade aprimorados nas aplicações Resposta a vulnerabilidades ou Resposta a vulnerabilidades de aplicações selecionando o link do ID de vulnerabilidade.

      • AVIs (AVITs) - Itens vulneráveis de aplicação associados a este componente se você tiver criado regras de criação de AVIT que correspondam o componente a uma vulnerabilidade conhecida. A aplicação Resposta a vulnerabilidades (AVR) relaciona uma vulnerabilidade a uma aplicação para criar um registro AVI. Para obter mais informações, consulte Criação de regras para itens vulneráveis de aplicação no espaço Lista de materiais de software.