Exploração do Lista de materiais de software

  • Versão de lançamento: Xanadu
  • Atualizado 30 de ago. de 2024
  • 6 min. de leitura

    • Identifique os componentes usados nas aplicações da sua organização a partir de Lista de materiais de software (SBOM) arquivos que você carrega em sua instância. Entenda todos os riscos associados ao uso de software de código aberto para ajudá-lo a determinar sua possível exposição e corrigir vulnerabilidades.

    Versões Lista de materiais de software disponíveis

    Versão de lançamento Notas de versão
    Modelo de dados para SBOM

    v 2.0, v1.4, v1.3, v1.1, v1.0

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão

    Application Vulnerability Response release notes
    SBOM Núcleo

    v4.0, v3.0, v2.1, v2.0, v1.0
    SBOM Resposta

    v4.0, v3.2, v3.1, v3.0, v2.0

    Caso de uso do SBOM

    A partir das versões listadas na tabela, há suporte para casos de uso de operações de desenvolvimento de software (DevOps) para carregar SBOM arquivos de pipelines de integração contínua e entrega/implantação contínua (IC/CD). Para obter mais informações, consulte Carregando Lista de materiais de software para arquivos de DevOps SBOM.
    Versão de lançamento Aplicação
    v1.4 e posterior Modelo de dados para SBOM
    v3.0 e posterior SBOM Núcleo
    v4.0 e posterior SBOM Resposta

    Componentes de terceiros e de código aberto oferecem muitas vantagens para a criação e a liberação rápidas de seus projetos de software. No entanto, em alguns casos, há riscos associados ao uso de componentes acessíveis publicamente, como os seguintes:

    • Falta de visibilidade na integridade do componente
    • Vulnerabilidades no software de código aberto
    • Inteligência de pacote para software de código aberto
    Três Lista de materiais de software aplicações permitem que você exiba um inventário preciso de seus componentes de software e riscos associados:
    • Modelo de dados para SBOM
    • SBOM Núcleo
    • SBOM Resposta

    Você pode carregar seus arquivos de lista de materiais de software por meio de uma API ou manualmente. Exiba os arquivos importados como entidades, que são inventários das bibliotecas de componentes de terceiros usadas em seu software, incluindo quaisquer dependências transitivas.

    Para obter mais informações sobre o que está incluído nos inventários de software nos SBOMs CycloneDX e SPDX, consulte CycloneDX - Software Bill of Materials (SBOM) e SPDX.

    Modelo de dados para SBOM

    Esta aplicação fornece as tabelas usadas para armazenar dados de SBOM.

    SBOM Núcleo

    A partir da v3.0 do SBOM Core, carregue, analise e processe seus arquivos de lista de materiais de software nos padrões CycloneDX e SPDX. Consulte a tabela a seguir para obter os formatos de arquivo e versões compatíveis com esses produtos. Exiba entidades de lista de materiais (BOM) e um inventário de seus componentes de software. Uma entidade de lista de materiais é o componente de nível raiz em um arquivo SBOM. Por exemplo, para um SBOM CycloneDX, o componente listado nos metadados é considerado a entidade da lista de materiais.

    Versão do SBOM Core Versões compatíveis de CycloneDx e SPDX
    v4.0

    XML e JSON no CycloneDx (versões 1.0 - 1.6)

    JSON em SPDX (versões 2.2-2.3)
    v3.0

    XML e JSON no CycloneDX (até a versão 1.4, inclusive)

    XML no SPDX (até e incluindo v2.3)

    Consulte a seção intitulada Como usar a REST API em Carregando Lista de materiais de software arquivos usando uma REST API para obter mais informações sobre melhorias para oferecer suporte ao formato CycloneDX.

    A partir da versão 4.0 do SBOM Core, você pode carregar SBOM arquivos para o Now Platform® de seus repositórios GitHub.

    Determine se SBOM arquivos gerados em seus pipelines de IC/CD (integração contínua e entrega/implantação contínuas) foram enfileirados com sucesso em sua instância Now Platform®.

    • Proteja seus ambientes de componentes potencialmente prejudiciais durante os ciclos de desenvolvimento de software com GitHub Ações que você inicia em seu ambiente GitHub.
    • Obtenha todas as GitHub Ações necessárias para SBOM upload no GitHub Marketplace.

    SBOM Resposta

    Exiba seu inventário de componentes e avalie sua exposição a riscos no espaço SBOM. Você pode identificar se há vulnerabilidades conhecidas associadas a componentes de software e exibir informações de licenciamento e versão junto com outros detalhes.

    Consulte a tabela a seguir para obter mais informações sobre cada aplicação ServiceNow® SBOM.

    Tabela 1. Aplicações necessárias para SBOM
    ServiceNow aplicativo Descrição
    Modelo de dados para SBOM Esta aplicação é necessária. Inclui as tabelas, ACLs e funções necessárias para ler SBOM dados.
    SBOM Núcleo Esta aplicação é necessária. Inclui a API necessária para carregar SBOM documentos e a lógica de negócios necessária para analisar e importar os dados desses documentos para sua instância. A partir da versão 2.1, você pode exibir um inventário dos componentes de software no espaço SBOM.
    SBOM Resposta
    A partir da versão 4.0 da resposta SBOM, você pode exibir os componentes identificados como obsoletos ou abandonados como "Fora de conformidade" na interface PaCE (Policy as Code Engine), que está disponível no espaçoSBOM.
    • Determine se os componentes estão obsoletos ou abandonados com o trabalho agendado Executar políticas de PaCE para resposta de SBOM. O trabalho agendado está desativado por padrão.
    • Exiba os componentes identificados como obsoletos ou abandonados como fora de conformidade na interface PaCE que está disponível no espaço do SBOM.

    SBOM A resposta requer a aplicação Resposta a vulnerabilidades. Instale a aplicação Resposta a vulnerabilidades antes de instalar a resposta SBOM.

    Exiba seu inventário de componentes e avalie sua exposição a riscos no espaço SBOM. Configure regras para criar itens vulneráveis de aplicação (AVITs) automaticamente e corrija-os com o fluxo de trabalho da Resposta a vulnerabilidades da aplicação.

    As integrações OSV.dev e Deps.dev são incluídas quando você instala o SBOM Response.

    • OSV.dev é uma API de código aberto que fornece informações de inteligência de vulnerabilidade para uma determinada versão de um pacote ou biblioteca.
    • Deps.dev é uma API de código aberto que fornece uma lista de versões para um determinado pacote ou biblioteca.
    A instalação da inteligência de vulnerabilidade de terceiros compatível e outras integrações permite que você exiba as contagens de componentes considerados obsoletos e abandonados, bem como informações sobre se você pode corrigir vulnerabilidades associadas aos componentes. As aplicações ServiceNow® e integrações de terceiros listadas na tabela a seguir são compatíveis com a aplicação SBOM. Essas aplicações fornecem dados de vulnerabilidade aprimorados, inteligência de vulnerabilidade e outras informações importantes que podem ajudá-lo a exibir e priorizar as vulnerabilidades associadas aos arquivos SBOM. Todas essas aplicações e integrações estão disponíveis no ServiceNow Store.
    Tabela 2. Aplicações de terceiros compatíveis com SBOM
    Aplicação Descrição
    Resposta a vulnerabilidades Necessário se você instalar a aplicação SBOM Response. Resposta a vulnerabilidades de aplicações recursos são instalados com Resposta a vulnerabilidades. Esses recursos permitem o acesso ao Espaço do gerenciador de vulnerabilidades na aplicação Resposta a vulnerabilidades e ao fluxo de trabalho de vulnerabilidade para ajudá-lo a corrigir itens vulneráveis da aplicação (AVITs).
    Vulnerability Response Integration with NVD Exiba dados aprimorados de vulnerabilidade e gravidade do NVD. Se você instalou o SBOM Response, poderá exibir os dados importados das integrações do NVD e do CWE para aprimorar todos os dados de vulnerabilidade encontrados nos dados do SBOM.

    Para obter mais informações, consulte Importação de dados com as integrações de NVD e CWE e gestão de bibliotecas de terceiros.
    Veracode Vulnerability Integration
    A versão 4.3 do Veracode Vulnerability Integration inclui os seguintes aprimoramentos com arquivos Veracode SBOM :
    • Se você instalou o SBOM Response, terá a opção de incluir vulnerabilidades encontradas por Veracode nos arquivos SBOM carregados.
    • Veracode é mapeado para o campo Origem para registros na tabela Lista de materiais [sn_sbom_doc] para os arquivos Veracode SBOM que você carrega.

    Importe listas de materiais de software com o Veracode Vulnerability Integration. Se você já tiver esta integração instalada, também poderá carregar dados Veracode SBOM importados nos formatos CycloneDX (JSON e XML) e SPDX (XML) a partir da versão v3.0 do SBOM Core.