Explorar o Lista de materiais de software

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Identifique os componentes usados nas aplicações da sua organização de arquivos Lista de materiais de software (SBOM) que você carrega em sua instância. Entenda todos os riscos associados ao uso de software de código aberto para ajudá-lo a determinar sua possível exposição e corrigir vulnerabilidades.

    Disponível Lista de materiais de software versões

    Versão de lançamento Notas de versão
    Modelo de dados para SBOM

    v1.3, v1.1, v1.0

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão

    Application Vulnerability Response release notes
    SBOM Núcleo

    v2.1, v2.0, v1.0
    SBOM Resposta

    v3.1, v3.0, v2.0

    Caso de uso do SBOM

    Componentes de terceiros e de código aberto oferecem muitas vantagens para a criação e o lançamento rápidos de seus projetos de software. No entanto, em alguns casos, há riscos associados ao uso de componentes acessíveis publicamente, como o seguinte:

    • Falta de visibilidade da integridade do componente
    • Vulnerabilidades no software
    • Conformidade de licenciamento
    Três aplicações Lista de materiais de software permitem que você exiba um inventário preciso dos componentes de software:
    • Modelo de dados para SBOM
    • SBOM Núcleo
    • SBOM Resposta

    Você pode carregar sua lista de materiais de software por meio de uma API ou manualmente. Exiba os arquivos importados como entidades, que são inventários das bibliotecas de componentes de terceiros usadas em seu software, incluindo quaisquer dependências transitivas. Para obter mais informações sobre o que está incluído nos inventários de software nos SBOMs do CycloneDX, consulte CycloneDX - Software Bill of Materials (SBOM).

    Modelo de dados para SBOM

    Esta aplicação fornece as tabelas usadas para armazenar dados de SBOM.

    SBOM Núcleo

    Carregue, analise e processe seus arquivos de lista de materiais de software no formato CycloneDXJSON em sua instância Now Platform®. Exiba entidades de lista de materiais (BOM) e um inventário de seus componentes de software. Uma entidade da lista de materiais é o componente de nível raiz em um arquivo SBOM. Por exemplo, para um SBOM do CycloneDX, o componente listado nos metadados é considerado a entidade da lista de materiais.

    SBOM Resposta

    Exiba seu inventário de componentes e avalie sua exposição ao risco no espaço do SBOM. Você pode identificar se alguma vulnerabilidade conhecida está associada a componentes de software e exibir informações de licenciamento e versão junto com outros detalhes.

    Consulte a tabela a seguir para obter mais informações sobre cada aplicação ServiceNow® SBOM.

    Tabela 1. Aplicações necessárias para SBOM
    ServiceNow aplicativo Descrição
    Modelo de dados para SBOM Esta aplicação é necessária. Ele inclui as tabelas, ACLs e funções que são necessárias para ler dados SBOM.
    SBOM Núcleo Esta aplicação é necessária. Inclui a API necessária para carregar SBOM documentos e a lógica de negócios necessária para analisar e importar os dados desses documentos para sua instância. A partir da v2.1, você pode exibir um inventário dos componentes de software no espaço do SBOM.
    SBOM Resposta

    A aplicação Vulnerability Response será necessária se você instalar a aplicação SBOM Response. Instale o Vulnerability Response antes de instalar o SBOM Response.

    Exiba seu inventário de componentes e avalie sua exposição ao risco no espaço do SBOM. Configure regras para criar itens vulneráveis de aplicação (AVITs) automaticamente e corrigi-los com o fluxo de trabalho do Application Vulnerability Response.

    As integrações OSV.dev e Deps.dev são incluídas ao instalar o SBOM Response.

    • OSV.dev é uma API de código aberto que fornece informações de inteligência de vulnerabilidade para uma determinada versão de um pacote ou biblioteca.
    • Deps.dev é uma API de código aberto que fornece uma lista de versões para um determinado pacote ou biblioteca.

    A instalação de inteligência de vulnerabilidade de terceiros compatível e outras integrações permite que você exiba as contagens de componentes considerados obsoletos e abandonados, bem como informações sobre se é possível corrigir vulnerabilidades associadas aos componentes. As aplicações ServiceNow® e integrações de terceiros listadas na tabela a seguir são compatíveis com a aplicação SBOM. Essas aplicações fornecem dados de vulnerabilidade aprimorados, inteligência de vulnerabilidade e outras informações importantes que podem ajudá-lo a exibir e priorizar as vulnerabilidades associadas aos arquivos SBOM. Todas essas aplicações e integrações estão disponíveis na ServiceNow Store.
    Tabela 2. Outras aplicações compatíveis com SBOM
    Aplicação Descrição
    Vulnerability Response Obrigatório se você instalar a aplicação de resposta SBOM. Os recursos do Application Vulnerability Response são instalados com o Vulnerability Response. Esses recursos permitem o acesso ao espaço do Vulnerability Manager na aplicação Vulnerability Response e ao fluxo de trabalho de vulnerabilidade para ajudá-lo a corrigir itens vulneráveis da aplicação (AVITs). Fornece acesso ao banco de dados nacional de vulnerabilidades (NVD), enumeração de pontos fracos comuns (CWE) e dados de vulnerabilidade de aplicações de terceiros.
    Trabalhos programados do Vulnerability Response Integration with NVD e CWE Exiba dados aprimorados de vulnerabilidade e severidade do NVD. Se você instalou o SBOM Response, poderá exibir os dados importados das integrações de NVD e CWE para aprimorar todos os dados de vulnerabilidade encontrados em seus dados de SBOM.

    Para obter mais informações, consulte Importação de dados com as integrações de NVD e CWE e gestão de bibliotecas de terceiros.
    Integração de vulnerabilidade da Veracode Importe listas de materiais de software de arquivos com Veracode Vulnerability Integration. Se você já tem esta integração instalada, também pode carregar dados Veracode SBOM importados no formato CycloneDX JSON.