Examen du module Composants dans l’espace Nomenclature logicielle de travail

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Le module Composants de l’espace Nomenclature logicielle de travail (SBOM) affiche des informations actualisées sur les combinaisons vulnérables, périmées, abandonnées et à haut risque pour les composants que vous importez.

    Affichage du module Composants

    Rôles requis :
    • À partir de la v2.1 de SBOM Core : sn_sbom_resp.sbom_analyst
    • Avant la v2.1 de SBOM Core : sn_sbom_resp.admin

    Accédez à la Espaces de travail > Espace de travail SBOM > Composants.

    Ce que vous pouvez voir dans le module dépend des applications que vous avez installées.

    À partir de la version 3.2 de SBOM Response, les données importées ne sont pas calculées et sont renseignées par des requêtes actives. Les scores des pages d’accueil et des composants sont mis à jour une fois par jour avec des améliorations des performances pour la génération de rapports. Cette amélioration peut vous permettre d’accélérer les temps de chargement des tableaux de résultats sur les modules Accueil et Composants de l’espace SBOM de travail.

    Ces améliorations n’ont aucun impact sur la manière dont les données sont stockées ni sur leur emplacement.

    Application installée Description
    Si vous avez installé SBOM Core À partir de la version 2.1, un inventaire de tous les composants chargés qui inclut les informations suivantes :
    • Nom
    • Description
    • Version
    • Nombre d'entités BOM
    Si vous avez installé SBOM Response À partir de la version 3.1 de SBOM la réponse, sélectionnez un graphique ou un nombre sur le graphique pour afficher une liste des enregistrements associés.
    Tous les composants
    La liste des composants périmés et abandonnés , ainsi que ceux qui ont au moins une vulnérabilité dans votre nombre total de composants. Ces nombres peuvent vous aider à identifier les composants qui requièrent votre attention. Ces sous-ensembles de composants peuvent ne pas correspondre à votre nombre total de composants, car tous vos composants peuvent ne pas correspondre à ces catégories.
    • La version d’un composant périmé a plus de deux versions majeures de retard sur la dernière version et deux ans de retard sur la dernière version.
    • Un composant abandonné n’a pas été mis à jour depuis plus de deux ans.
    • Les composants vulnérables sont des composants qui présentent des vulnérabilités d’une gravité élevée ou supérieure.
    Combinaisons à haut risque

    Les composants à haut risque peuvent nécessiter votre attention immédiate. L’intégration Deps.dev, qui est installée lorsque vous installez l’application SBOM Response, fournit l’intelligence des packages pour les composants à l’état Périmé et Abandonné .

    Les combinaisons importées à haut risque sont composées de composants périmés et abandonnés présentant au moins une vulnérabilité grave (critique ou élevée) que vous pouvez corriger par des mises à jour, un remplacement ou un autre type de réparation. L’état Entièrement réparable signifie qu’un composant dispose d’une version disponible qui peut le corriger. Le pourcentage du nombre total de composants à haut risque ayant des versions réparables est indiqué.

    Composants vulnérables et réparables
    Totaux et répartitions des composants présentant des vulnérabilités critiques, élevées, moyennes et faibles , et si certaines ou toutes leurs vulnérabilités peuvent être corrigées. Si un composant comporte plusieurs vulnérabilités, la vulnérabilité la plus critique prévaut.

    L’état de réparabilité :

    • Terminé : il existe des versions de correctifs pour toutes les vulnérabilités associées à la version actuelle du composant.
    • Partiel : il existe une version de correctif pour au moins une des vulnérabilités associées à la version actuelle du composant, mais pas pour toutes.
    Composants par licence
    Totaux et répartitions des composants par licences.

    La liste des composants sous les visualisations vous permet de voir le nom, la description, la version et les nombres d’entités. Dans le panneau de droite, vous pouvez afficher un historique des versions. La version actuelle est mise en surbrillance dans l’historique des versions. Les colonnes Vulnérabilités et exposition communes (CVE) et Réparabilité sont également affichées.

    Évaluation de vos risques à l’aide de la connaissance des vulnérabilités

    Consultez Vérification des vulnérabilités d’une Nomenclature logicielle entité pour en savoir plus sur la façon d’examiner les données d’intelligence de vulnérabilité dans l’espace de travail.