ソフトウェア部品表 の詳細

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • インスタンスにアップロードする (SBOM) ファイルから、組織のアプリケーションソフトウェア部品表で使用されているコンポーネントを特定します。オープンソースソフトウェアの使用に関連するリスクを理解して、潜在的なエクスポージャーを判断し、脆弱性を修正するのに役立ちます。

    利用可能 ソフトウェア部品表 バージョン

    リリースバージョン リリースノート
    のデータモデル SBOM

    v1.3、v1.1、v1.0

    互換性情報については、「KB0856498 Vulnerability Response 互換性マトリクスおよびリリーススキーマの変更」を参照してください。

    Application Vulnerability Response release notes
    SBOM コア

    v2.1、v2.0、v1.0
    SBOM 応答

    v3.1、v3.0、v2.0

    SBOM のユースケース

    サードパーティおよびオープンソースコンポーネントには、ソフトウェアプロジェクトを迅速に作成およびリリースするための多くの利点があります。ただし、場合によっては、公的にアクセス可能なコンポーネントの使用に関連する次のようなリスクがあります。

    • コンポーネントの完全性の可視性の欠如
    • ソフトウェアの脆弱性
    • ライセンスコンプライアンス
    次の 3 つの ソフトウェア部品表 アプリケーションを使用して、ソフトウェアコンポーネントの正確なインベントリを表示できます。
    • のデータモデル SBOM
    • SBOM コア
    • SBOM 応答

    ソフトウェア部品表ファイルは、APIを介して、または手動でアップロードできます。インポートするファイルをエンティティとして表示します。これは、ソフトウェアで使用されているサードパーティコンポーネントライブラリのインベントリであり、推移的な依存関係を含みます。CycloneDX SBOMのソフトウェアインベントリに含まれるものの詳細については、 CycloneDX - ソフトウェア部品表(SBOM)を参照してください。

    Data Model for SBOM

    このアプリケーションは、SBOM データの格納に使用するテーブルを提供します。

    SBOM コア

    CycloneDXJSON 形式のソフトウェア部品表ファイルをインスタンスにアップロード、解析、および処理します Now Platform® 。部品表 (BOM) エンティティとソフトウェアコンポーネントのインベントリを表示します。BOM エンティティは、SBOM ファイルのルートレベルコンポーネントです。たとえば、Cyclone DX SBOM の場合、メタデータにリストされているコンポーネントは BOM エンティティと見なされます。

    SBOM 応答

    コンポーネント在庫を表示し、SBOM ワークスペースでリスクエクスポージャーを評価します。既知の脆弱性がソフトウェアコンポーネントに関連しているかどうかを特定し、ライセンス情報とバージョン情報をその他の詳細とともに表示できます。

    ServiceNow® SBOM アプリケーションの詳細については、次の表を参照してください。

    表 : 1. に必要なアプリケーション SBOM
    ServiceNow アプリケーション 説明
    のデータモデル SBOM このアプリケーションは必須です。これには、データを読み取る SBOM ために必要なテーブル、ACL、およびロールが含まれます。
    SBOM コア このアプリケーションは必須です。ドキュメントのアップロード SBOM に必要な API と、それらのドキュメントのデータを解析してインスタンスにインポートするために必要なビジネスロジックが含まれています。v2.1 以降、SBOM ワークスペースでソフトウェアコンポーネントのインベントリを表示できます。
    SBOM 応答

    Response アプリケーションをインストールする SBOM 場合は、Vulnerability Response アプリケーションが必要です。Response をインストールする SBOM 前に Vulnerability Response をインストールします。

    コンポーネント在庫を表示し、SBOM ワークスペースでリスクエクスポージャーを評価します。アプリケーション脆弱性一致アイテム (AVIT) を自動的に作成し、Application Vulnerability Response ワークフローで修正するルールを設定します。

    OSV.dev と Deps.dev の統合は、SBOM Response のインストール時に組み込まれます。

    • OSV.dev は、パッケージまたはライブラリの特定のバージョンの脆弱性インテリジェンス情報を提供するオープンソース API です。
    • Deps.dev は、特定のパッケージまたはライブラリのバージョンリストを提供するオープンソースAPIです。

    サポートされているサードパーティの脆弱性インテリジェンスとその他の統合をインストールすると、古いと見なされて破棄されたコンポーネントの数と、コンポーネントに関連する脆弱性を修正できるかどうかに関する情報を表示できます。ServiceNow®次の表に示すアプリケーションとサードパーティ統合は、アプリケーションでサポートされていますSBOM。これらのアプリケーションは、強化された脆弱性データ、脆弱性インテリジェンス、およびファイルに関連する SBOM 脆弱性を表示して優先順位を付けるのに役立つその他の重要な情報を提供します。これらのアプリケーションと統合はすべて、 ServiceNow Storeから利用できます。
    表 : 2. でサポートされているその他のアプリケーション SBOM
    アプリケーション 説明
    Vulnerability Response 応答アプリケーションをインストールする場合は必須です SBOM 。Application Vulnerability Response 機能は、Vulnerability Response とともにインストールされます。これらの機能を使用すると、Vulnerability Response アプリケーションの脆弱性マネージャーワークスペースと脆弱性ワークフローにアクセスして、アプリケーション脆弱性一致アイテム (AVIT) を修復することができます。National Vulnerability Database (NVD)、共通脆弱性タイプ一覧 (CWE)、およびサードパーティアプリケーション脆弱性データへのアクセス権を付与します。
    Vulnerability Response Integration with NVD および CWE ジョブスケジュール 拡張 NVD の脆弱性と重大度のデータを表示します。Response をインストール SBOM している場合は、NVD および CWE 統合からインポートされたデータを表示して、データで SBOM 見つかる脆弱性データを拡張できます。

    詳細については、「NVD と CWE の統合によるデータのインポートとサードパーティライブラリの管理」を参照してください。
    Veracode 脆弱性統合 を使用してソフトウェア部品表ファイルを Veracode Vulnerability Integrationインポートします。この統合がすでにインストールされている場合は、インポートされたVeracode SBOM データをCycloneDX JSON形式でアップロードすることもできます。