Explorando Lista de materiais de software

  • Versão de lançamento: Yokohama
  • Atualizado 26 de fev. de 2025
  • 5 min. de leitura

    • Identifique os componentes usados nas aplicações da sua organização a partir de Lista de materiais de software (SBOM) arquivos que você carrega em sua instância. Entenda todos os riscos associados ao uso de software de código aberto para ajudá-lo a determinar sua possível exposição, exibir a conformidade da licença e corrigir vulnerabilidades.

    Visão geral Lista de materiais de software

    Componentes de terceiros e de código aberto oferecem muitas vantagens para a criação e a liberação rápidas de seus projetos de software. No entanto, em alguns casos, há riscos associados ao uso de componentes acessíveis publicamente, como os seguintes:

    • Falta de visibilidade na integridade do componente
    • Vulnerabilidades no software de código aberto
    • Inteligência de pacote para software de código aberto
    • Licenças de software fora de conformidade

    Você pode carregar seus arquivos de lista de materiais de software por meio de uma API ou manualmente. Exiba os arquivos importados como entidades, que são inventários das bibliotecas de componentes de terceiros usadas em seu software, incluindo quaisquer dependências transitivas e informações de licenciamento disponíveis.

    Para obter mais informações sobre o que está incluído nos inventários de software nos SBOMs CycloneDX e SPDX, consulte CycloneDX - Software Bill of Materials (SBOM) e SPDX.

    Lista de materiais de software usuários

    Tabela 1. Usuários
    Usuário Descrição
    Gerentes e analistas de vulnerabilidade Exiba arquivos de lista de materiais de software carregados em registros, visualizações de dados e inteligência de vulnerabilidade aprimorada no espaço Lista de materiais de software (SBOM).

    Os gerentes e analistas de vulnerabilidade usam essas informações para ajudá-los a determinar a conformidade do licenciamento de software e a possível exposição a riscos com o uso de software de código aberto.
    Usuários que podem incluir, mas não estão limitados a:
    • Advogados de tecnologia ou software
    • Gerentes de TI
    • Auditores
    • Equipes e gerentes de ativos de software
    		 Exiba licenças de software proprietárias e de código aberto carregadas para componentes de seus arquivos SBOM carregados.

    Crie um banco de dados de licenças de software proprietário e de código aberto para os componentes.

    Revise e classifique as licenças com informações ausentes de acordo com suas políticas internas ou regulatórias.

    Corresponda seus componentes a licenças, determine a conformidade geral da licença e veja sua possível exposição a riscos de licenças proibidas, restritas ou ausentes.

    Fluxo de trabalho do Lista de materiais de software

    As aplicações SBOM permitem que você carregue arquivos e exiba detalhes de entidades, inventários de componentes, vulnerabilidades e informações de licença de software no espaço da lista de materiais de software (SBOM).

    • Carregue SBOM arquivos com uma API ou manualmente.
    • Revise os componentes no arquivo SBOM que você carregou no espaço SBOM.
    • Revise as informações de licença do componente dos arquivos SBOM carregados e classifique-as para ajudá-lo a identificar sua exposição a licenças restritas ou proibidas.
    • Avalie sua exposição a riscos e crie itens vulneráveis para componentes que tenham vulnerabilidades associadas.
    • Exiba relatórios e painéis, bem como a conformidade geral da licença para componentes SBOM carregados na página inicial do espaço SBOM.

    Benefícios do Lista de materiais de software

    Três aplicações de lista de materiais de software permitem que você exiba um inventário preciso de seus componentes de software e riscos associados:
    • Modelo de dados para SBOM
    • SBOM Núcleo
    • SBOM Resposta

    Para obter informações de compatibilidade, consulte KB0856498 Mudanças no esquema de versão e matriz de compatibilidade da Resposta a vulnerabilidades.

    Tabela 2. Benefícios do SBOM
    Benefício Aplicação Versões com suporte
    Esta aplicação fornece as tabelas usadas para armazenar SBOM dados. Esta aplicação é necessária. Inclui as tabelas, ACLs e funções necessárias para ler SBOM dados. Modelo de dados para SBOM v4.0, v3.0, v2.0
    Esta aplicação é necessária. Inclui a API necessária para carregar SBOM documentos e a lógica de negócios necessária para analisar e importar os dados desses documentos para sua instância. Você pode exibir um inventário de seus componentes de software no SBOM Espaço, mas não pode exibir as visualizações de dados na página principal.

    Carregue, analise e processe seus arquivos de lista de materiais de software nos padrões CycloneDX e SPDX. Consulte a coluna Versões compatíveis para ver os formatos de arquivo e as versões compatíveis com esses produtos. Exiba entidades de lista de materiais (BOM) e um inventário de seus componentes de software. Uma entidade de lista de materiais é o componente de nível raiz em um arquivo de SBOM. Por exemplo, para um CycloneDX SBOM, o componente listado nos metadados é considerado a entidade da lista de materiais.

    		 SBOM Núcleo

    v6.0, v5.0, v4.0

    A partir da versão 4.0, SBOM o Core é compatível com:

    • XML e JSON versões 1.0 a 1.6 do CycloneDX.
    • JSON versões 2.2 a 2.3 do SPDX.
    • SBOM A resposta é necessária se você quiser acessar os recursos e visualizações de dados na página principal do espaço do SBOM.
    • A respostado SBOM requer a aplicação Resposta a vulnerabilidades.
    • Exiba seu inventário de componentes e avalie sua exposição a riscos no espaço SBOM. Configure regras para criar itens vulneráveis de aplicação (AVITs) automaticamente e corrija-os com o fluxo de trabalho Resposta a vulnerabilidades de aplicações.
    • Exiba as informações de licença do componente que são carregadas com seus arquivos SBOM no módulo Administração de licenças. Classifique e resolva (corresponda) os componentes carregados em seus arquivos Resposta a vulnerabilidades de aplicações para licenças para que você possa ver o estado de conformidade geral da licença.
    • A partir da versão 4.0 da resposta Resposta a vulnerabilidades de aplicações, você pode exibir os componentes identificados como obsoletos ou abandonados como "Fora de conformidade" na interface PaCE (Policy as Code Engine), que está disponível no espaço SBOM.

    • As integrações OSV.dev e Deps.dev são incluídas quando você instala o SBOM Response.

      • OSV.dev é uma API de código aberto que fornece informações de inteligência de vulnerabilidade para uma determinada versão de um pacote ou biblioteca.
      • Deps.dev é uma API de código aberto que fornece uma lista de versões para um determinado pacote ou biblioteca e identifica componentes que estão em estados obsoletos e abandonados.

      Para obter mais informações, consulte Configuração das integrações Deps.dev, OSV.dev e PaCE para Lista de materiais de software.

      Consulte Integrating PaCE with other applications para obter mais informações sobre PaCE e políticas de PaCE.

    		 SBOM Resposta v6.0, v5.0, v4.0
    Gerar e carregar Lista de materiais de software (SBOM) arquivos para software em toda a integração contínua e ciclos de desenvolvimento de implantação contínua. SBOM Resposta
    • Modelo de dados para SBOM: v1.4 e posterior.
    • SBOM Núcleo: v3.0 e posterior.
    • SBOM Resposta: v4.0 e posterior.

    O que explorar a seguir

    Para saber mais sobre como configurar e usar o Lista de materiais de software, consulte: