Revisando o módulo Componentes no espaço Lista de materiais de software

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • O módulo Componentes no espaço Lista de materiais de software (SBOM) exibe informações atuais sobre combinações vulneráveis, obsoletas, abandonadas e de alto risco para os componentes importados.

    Exibição do módulo Componentes

    Funções necessárias:
    • A partir da v2.1 do SBOM Core - sn_sbom_resp.sbom_analyst
    • Antes da v2.1 do SBOM Core - sn_sbom_resp.admin

    Navegar até Espaços > Espaço de SBOM > Componentes.

    O que você pode ver no módulo depende das aplicações instaladas.

    A partir da v3.2 da resposta SBOM, os dados importados não são calculados e preenchidos por consultas em tempo real. As pontuações nas páginas Inicial e Componentes são atualizadas uma vez por dia com melhorias de desempenho para emissão de relatórios. Esta melhoria pode fornecer tempos de carregamento mais rápidos para os cartões de pontuação nos módulos Página inicial e Componentes no espaço SBOM.

    Essas melhorias não têm impacto sobre como ou onde os dados são armazenados.

    Aplicação instalada Descrição
    Se você instalou o SBOM Core A partir da versão 2.1, um inventário de todos os componentes carregados inclui as seguintes informações:
    • Nome
    • Descrição
    • Versão
    • Contagem de entidades da lista de materiais
    Se você instalou SBOM Resposta A partir da v3.1 da Resposta SBOM, selecione um gráfico ou um número no gráfico para exibir uma lista de registros associados.
    Todos os componentes
    A lista de componentes obsoletos e abandonados, bem como aqueles com pelo menos uma vulnerabilidade em sua contagem total de componentes. Essas contagens podem ajudá-lo a identificar componentes que requerem sua atenção. Esses subconjuntos de componentes podem não corresponder à contagem total de componentes porque todos os seus componentes podem não se encaixar nessas categorias.
    • A versão de um componente obsoleto está mais de duas versões principais atrás da versão mais recente e dois anos atrás da versão mais recente.
    • Um componente abandonado não foi atualizado por mais de dois anos.
    • Componentes vulneráveis são componentes que têm vulnerabilidades com uma severidade Alta ou superior.
    Combinações de alto risco

    Componentes de alto risco podem exigir sua atenção imediata. A integração Deps.dev, que é instalada quando você instala a aplicação SBOM Response, fornece a inteligência de pacotes para componentes nos estados Obsoleto e Abandonado.

    As combinações importadas de alto risco são compostas por componentes obsoletos e abandonados com pelo menos uma vulnerabilidade grave (Crítica ou Alta) que você pode corrigir com atualizações, substituições ou outro tipo de reparo. O status Completamente corrigível significa que um componente tem uma versão disponível que pode corrigi-lo. A porcentagem do número total de componentes de alto risco que têm versões corrigíveis é anotada.

    Componentes vulneráveis que podem ser corrigidas
    Totais e detalhamentos dos componentes com vulnerabilidades Críticas, Altas, Médiase Baixas e se algumas ou todas as vulnerabilidades podem ser corrigidas. Se um componente tiver mais de uma vulnerabilidade, a vulnerabilidade mais crítica terá precedência.

    O status de fixability:

    • Concluído - Há versões de correção para todas as vulnerabilidades associadas à versão atual do componente.
    • Parcial - há uma versão de correção para pelo menos uma, mas não todas as vulnerabilidades associadas à versão atual do componente.
    Componentes por licença
    Totais e detalhamentos de componentes por licenças.

    A lista de componentes nas visualizações permite que você veja o nome, a descrição, a versão e as contagens de entidade. No painel direito, você pode exibir um histórico de versões. A versão atual é realçada no histórico de versões. As colunas Vulnerabilidades e exposição comuns (CVE) e Fixabilidade também são exibidas.

    Como avaliar o risco com a inteligência de vulnerabilidade

    Consulte Verificação de vulnerabilidades em uma entidade Lista de materiais de software para obter mais informações sobre como revisar dados de inteligência de vulnerabilidade no espaço.