Software Bill of Materials erkunden

  • Freigeben Version: Xanadu
  • Aktualisiert 30. August 2024
  • 5 Minuten Lesedauer

    • Identifizieren Sie die in den -Anwendungen Ihrer Organisation verwendeten -Komponenten anhand der -Dateien Software Bill of Materials (SBOM), die Sie in Ihre -Instanz hochladen. Machen Sie sich mit allen Risiken vertraut, die mit der Verwendung von Open Source-Software verbunden sind, um Ihr potenzielles Risiko zu ermitteln und Schwachstellen zu beheben.

    Verfügbare Software Bill of Materials -Versionen

    Release-Version Versionsinformationen
    Datenmodell für SBOM

    v2.0, v1.4, v1.3, v1.1, v1.0

    Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response-Kompatibilitätsmatrix und Releaseschemaänderungen

    Application Vulnerability Response release notes
    SBOM Zentral

    v4.0, v3.0, v2.1, v2.0, v1.0
    SBOM Antwort

    v4.0, v3.2, v3.1, v3.0, v2.0

    SBOM – Anwendungsfall

    Ab den in der Tabelle aufgeführten Versionen werden Anwendungsfälle für Software Development Operations (DevOps) zum Hochladen von SBOM Dateien aus den Pipelines für kontinuierliche Integration und kontinuierliche Bereitstellung/Bereitstellung (CI/CD) unterstützt. Weitere Informationen finden Sie unter Software Bill of Materials für DevOps-Dateien SBOM werden hochgeladen.
    Release-Version Anwendung
    v1.4 und höher Datenmodell für SBOM
    v3.0 und höher SBOM Zentral
    v4.0 und höher SBOM Antwort

    Open Source- und Drittpartei-Komponenten bieten Ihnen viele Vorteile für die schnelle Erstellung und Veröffentlichung Ihrer Softwareprojekte. In einigen Fällen sind jedoch mit der Verwendung öffentlich zugänglicher Komponenten Risiken verbunden, z. B.:

    • Mangelnde Transparenz der Komponentenintegrität
    • Schwachstellen in der Open Source-Software
    • Package Intelligence für Open Source-Software
    Mit drei Software Bill of Materials -Anwendungen können Sie einen genauen Bestand Ihrer Softwarekomponenten und der zugehörigen Risiken anzeigen:
    • Datenmodell für SBOM
    • SBOM Zentral
    • SBOM Antwort

    Sie können Ihre Software-Stücklistendateien über eine API oder manuell hochladen. Zeigen Sie die Dateien an, die Sie als Entitäten importieren. Hierbei handelt es sich um Bestände der in Ihrer Software verwendeten Komponentenbibliotheken von Drittparteien, einschließlich vorübergehender Abhängigkeiten.

    Weitere Informationen dazu, was in den Softwarebeständen in den SBOMs „CycloneDX“ und „SPDPX“ enthalten ist, finden Sie unter CycleneDX – Software-Stückliste (Software Bill of Material, SBOM) und SPX.

    Datenmodell für SBOM

    Diese Anwendung stellt die Tabellen bereit, die zum Speichern von SBOM-Daten verwendet werden.

    SBOM Zentral

    Ab v3.0 von SBOM Core können Sie Ihre Software-Stücklistendateien gemäß den Standards „CycloneDX“ und „SPXX“ hochladen, analysieren und verarbeiten. In der folgenden Tabelle finden Sie die unterstützten Dateiformate und Versionen für diese Produkte. Zeigen Sie Stücklistenentitäten (Stückliste) und einen Bestand Ihrer Softwarekomponenten an. Eine Stücklistenentität ist die Komponente der Stammebene in einer Datei SBOM. Für eine Robot-Modellreihe mit dem Typ „CycloneDX“ wird beispielsweise die in den Metadaten aufgeführte Komponente als Stücklistenentität betrachtet.

    Version von SBOM Core Unterstützte Versionen von RobotDx und SPX
    v4.0

    XML und JSON in RobotDx (Versionen 1.0 bis 1.6)

    JSON in SPX (Versionen 2.2–2.3)
    v3.0

    XML und JSON in RobotDX (bis einschließlich Version 1.4)

    XML in SPX (bis einschließlich v2.3)

    Weitere Informationen zu Erweiterungen zur Unterstützung des Formats „CycloneDX“ finden Sie im Abschnitt „Verwenden der REST-API in Software Bill of Materials -Dateien werden mit einer REST-API hochgeladen “.

    Ab Version 4.0 von SBOM Core können Sie SBOM -Dateien aus Ihren GitHub -Repositorys in den Now Platform® hochladen.

    Stellen Sie fest, ob die in Ihren CI/CD-Pipelines (kontinuierliche Integration und kontinuierliche Bereitstellung/Bereitstellung) generierten Dateien SBOM erfolgreich in der Instanz Now Platform® in die Warteschlange gestellt wurden.

    • Schützen Sie Ihre Umgebungen während Software-Entwicklungszyklen mit GitHub -Aktionen, die Sie in Ihrer GitHub -Umgebung initiieren, vor potenziell schädlichen Komponenten.
    • Rufen Sie alle erforderlichen GitHub -Aktionen für den Upload von SBOM im GitHub-Marketplace ab.

    SBOM Antwort

    Zeigen Sie im SBOM-Arbeitsbereich Ihren Komponentenbestand an, und bewerten Sie Ihr Risiko. Sie können identifizieren, ob bekannten Schwachstellen Softwarekomponenten zugeordnet sind, und Lizenzierungs- und Versionsinformationen zusammen mit anderen Details anzeigen.

    In der folgenden Tabelle finden Sie weitere Informationen zu den einzelnen ServiceNow® SBOM-Anwendungen.

    Tabelle : 1. Erforderliche Anwendungen für SBOM
    Anwendung ServiceNow Beschreibung
    Datenmodell für SBOM Diese Anwendung ist erforderlich. Sie enthält die Tabellen, ACLs und Rollen, die zum Lesen der Daten SBOM erforderlich sind.
    SBOM Core Diese Anwendung ist erforderlich. Enthält die API, die zum Hochladen von SBOM -Dokumenten erforderlich ist, und die Geschäftslogik, die zum Analysieren und Importieren der Daten aus diesen Dokumenten in Ihre -Instanz erforderlich ist. Ab v2.1 können Sie im SBOM-Arbeitsbereich einen Bestand Ihrer Softwarekomponenten anzeigen.
    SBOM Antwort
    Ab Version 4.0 von SBOM Response können Sie Komponenten, die als veraltet oder verworfen als „Nicht konform“ gekennzeichnet sind, in der Schnittstelle Policy as Code Engine (PaCE) anzeigen, die im ArbeitsbereichSBOM verfügbar ist.
    • Stellen Sie mit der geplanten Aufgabe „PaCE-Richtlinien für SBOM-Antwort ausführen“ fest, ob Komponenten veraltet oder verworfen sind. Die geplante Aufgabe ist standardmäßig deaktiviert.
    • Zeigen Sie Komponenten an, die in der PaCE-Schnittstelle, die im SBOM-Arbeitsbereich verfügbar ist, als veraltet identifiziert oder als nicht konform verworfen wurden.

    Die AntwortSBOM erfordert die Anwendung Vulnerability Response. Installieren Sie die Anwendung Vulnerability Response, bevor Sie die Antwort SBOM installieren.

    Zeigen Sie im Arbeitsbereich SBOM Ihren Komponentenbestand an, und bewerten Sie Ihr Risiko. Richten Sie Regeln ein, um automatisch angreifbare Elemente in der Anwendung (Application Vulnerability Items, AVITs) zu erstellen und sie mit dem Application Vulnerability Response-Workflow zu korrigieren.

    Die OSV.dev- und Deps.dev-Integrationen sind in der Installation von SBOM Response enthalten.

    • OSV.dev ist eine Open-Source-API, die Vulnerability Intelligence-Informationen für eine bestimmte Version eines Pakets oder einer bestimmten Bibliothek bereitstellt.
    • Deps.dev ist eine Open-Source-API, die eine Versionsliste für ein bestimmtes Paket oder eine bestimmte Bibliothek bereitstellt.
    Durch die Installation von unterstützten Schwachstelleninformationen von Drittanbietern und anderen Integrationen können Sie Anzahlen für Komponenten anzeigen, die als veraltet und verworfen gelten, sowie Informationen darüber, ob Sie Schwachstellen im Zusammenhang mit Komponenten beheben können. Die in der folgenden Tabelle aufgeführten Anwendungen ServiceNow® und Drittanbieterintegrationen werden von der Anwendung SBOM unterstützt. Diese Anwendungen stellen Ihnen angereicherte Schwachstellendaten, Schwachstelleninformationen und andere wichtige Informationen bereit, mit denen Sie die Schwachstellen im Zusammenhang mit SBOM -Dateien anzeigen und priorisieren können. Alle diese Anwendungen und Integrationen sind über den ServiceNow Storeverfügbar.
    Tabelle : 2. Unterstützte Anwendungen von Drittparteien für SBOM
    Anwendung Beschreibung
    Vulnerability Response Erforderlich, wenn Sie die Anwendung SBOM Response installieren. Die Funktionen Application Vulnerability Response werden mit Vulnerability Responseinstalliert. Diese Funktionen ermöglichen den Zugriff auf den Arbeitsbereich des Schwachstellenmanagers in der Anwendung Vulnerability Response und den Schwachstellen-Workflow, um Sie bei der Korrektur von angreifbaren Elementen in der Anwendung (Application Vulnerable Items, AVITs) zu unterstützen.
    Vulnerability Response Integration with NVD Zeigen Sie erweiterte NVD-Schwachstellen- und -Schweregraddaten an. Wenn Sie SBOM Response installiert haben, können Sie importierte Daten aus den NVD- und CWE-Integrationen anzeigen, um die Schwachstellendaten, die Sie möglicherweise in Ihren SBOM -Daten finden, zu ergänzen.

    Weitere Informationen finden Sie unter Importieren von Daten mit den NVD- und CWE-Integrationen und Verwalten von Bibliotheken von Drittparteien.
    Veracode Vulnerability Integration
    Version 4.3 von Veracode Vulnerability Integration enthält die folgenden Erweiterungen für Veracode SBOM -Dateien:
    • Wenn Sie SBOM Response installiert haben, können Sie von Veracode gefundene Schwachstellen für die von Ihnen hochgeladenen SBOM-Dateien einbeziehen.
    • Veracode wird dem Feld Quelle für Datensätze in der Stücklistentabelle [sn_sbom_doc] für die von Ihnen hochgeladenen SBOM-Dateien Veracode zugeordnet.

    Importieren Sie Software-Stücklistendateien mit Veracode Vulnerability Integration. Wenn Sie diese Integration bereits installiert haben, können Sie importierte Veracode SBOM -Daten ab Version v3.0 von SBOM Core auch in den Formaten Epic (JSON und XML) und SPX (XML) hochladen.