Vérification des vulnérabilités d’une Nomenclature logicielle entité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Déterminez si des vulnérabilités sont associées aux composants d’un fichier chargé Nomenclature logicielle (SBOM).

    Les applications suivantes doivent être installées et activées avant de pouvoir afficher les vulnérabilités et les données de vulnérabilité améliorées :
    • SBOM Réponse
    • Intégration de Vulnerability Response avec les tâches NVD et CWE
    • Réponse aux vulnérabilités
    Consultez Explorer Nomenclature logicielle pour plus d'informations.
    Rôle requis :
    • À partir de la v2.1 de SBOM Core : sn_sbom_resp.sbom_analyst
    • Avant la v2.1 de SBOM Core : sn_sbom_resp.admin
    1. Accédez à la Tout > Espace de travail SBOM > Composants.
    2. Avant la version 3.1 de SBOM Response, affichez les informations relatives à la vulnérabilité via une visualisation ou un enregistrement de composant.
      Méthode Actions
      Entités BOM avec visualisation des vulnérabilités Sélectionnez le graphique de visualisation des entités BOM avec vulnérabilités .
      • Si des vulnérabilités sont associées à ce composant, les totaux sont affichés dans les colonnes CVE et CWE de la liste. Un composant peut avoir plusieurs vulnérabilités. Le cas échéant, vous pouvez consulter la colonne Réparabilité de cette liste pour les entrées.
      • Si aucune vulnérabilité n’est associée à ce composant, ces colonnes affichent 0 ou aucune valeur pour le composant.

      Si les colonnes CVE, CWE et Réparabilité ne sont pas affichées, vous pouvez les ajouter à la page en sélectionnant l’icône d’engrenage Icône d’engrenage en haut à droite de la page et les colonnes Modifier. Sélectionnez-les dans la liste de colonnes Disponible et sélectionnez OK.
      Enregistrement du composant
      1. Sélectionnez un enregistrement dans la liste située sous les visualisations.
      2. Sélectionnez l’onglet Vulnérabilités sur l’enregistrement.
        1. Si aucune donnée n’est affichée, aucune vulnérabilité signalée n’est associée à l’enregistrement.
        2. Si des données sont affichées, consultez Examen du module Composants dans l’espace Nomenclature logicielle de travail et suivez les étapes du workflow de rattrapage pour Réponse aux vulnérabilités des applications remédier à la vulnérabilité.

          Pour plus d'informations, consultez Rattrapage des Réponse aux vulnérabilités des applications vulnérabilités.

    Évaluation de vos risques à l’aide de la connaissance des vulnérabilités

    À partir de la version 3.1 de Response, affichez davantage de données de vulnérabilité améliorées avec SBOM Response sur les enregistrements de SBOM composants. Les SBOM travaux planifiés de l’application Response, de la réponse aux vulnérabilités, de l’intégration de la base de données de vulnérabilité nationale (NVD) et de l’énumération des faiblesses courantes (CWE) décrits dans Applications prises en charge doivent être installés et activés.

    1. Sélectionnez la visualisation Tous les composants pour afficher la liste des enregistrements associés.
    2. Sélectionnez un lien dans la colonne Nom pour ouvrir un enregistrement.

      Les états ( États), Périmé, Abandonné et Vulnérable sont affichés sous le nom du composant. Un composant peut avoir n’importe quelle combinaison de ces états. Si aucun état n’est affiché, le composant n’est ni périmé, ni abandonné, ni vulnérable.

      Passez en revue la version actuelle et la dernière version publiée. Dans le panneau de droite, vous pouvez afficher un historique des versions. La version actuelle est mise en évidence dans l’historique des versions et son emplacement dans la liste peut vous donner un aperçu des raisons pour lesquelles un composant est périmé, abandonné et vulnérable. Par exemple, vous utilisez peut-être une version antérieure d’un composant.

    3. Sélectionnez les onglets connexes Vue d’ensemble, Hachages, Entités BOM, Vulnérabilités et AVI de l’enregistrement.
      • Vue d’ensemble : un résumé des détails du composant.
      • Entités BOM : liste des entités associées à ce composant.
      • Hachages : s’ils sont importés, les hachages sont affichés.
      • Vulnérabilités : informations sur les vulnérabilités connues associées à ce composant. Si cette liste est vide, il n’y a aucune vulnérabilité connue.

        Si la liste est renseignée, sélectionnez l’onglet pour afficher les ID de vulnérabilité, les résumés et d’autres informations sur les vulnérabilités pour les données CVE (Common Vulnerabilities and Exposures) et CWE (Common Weakness Enumeration) associées à cet enregistrement. Les CVE sont ventilés par gravité, les CWE sont ventilés en fonction de la probabilité que le composant puisse être exploité. Vous pouvez afficher les enregistrements de vulnérabilité améliorés dans les applications ou Réponse aux vulnérabilitésRéponse aux vulnérabilités des applications en sélectionnant le lien de l’ID de vulnérabilité.

      • AVI (AVIT) : éléments vulnérables de l’application associés à ce composant si vous avez créé des règles de création AVIT qui associent le composant à une vulnérabilité connue. L’application Application Vulnerability Response (AVR) associe une vulnérabilité à une application pour créer un enregistrement AVI. Pour plus d'informations, consultez Création de règles pour les éléments vulnérables de l’application dans l’espace Nomenclature logicielle de travail.