ソフトウェア部品表ワークスペースでアプリケーション脆弱性一致アイテムのルールを作成する
ソフトウェア部品表 (SBOM) ワークスペースでアプリケーション脆弱性一致アイテム (AVIT) を表示するには、AVIT を作成する条件を設定しておく必要があります。
SBOM ワークスペースの AVIT
SBOM Response アプリケーションをインストールしてアクティブ化している場合、インポートされたデータのいずれかが既存の AVIT 作成ルールの条件に一致すると、 SBOM ファイルの AVIT が作成されます。
SBOM Response および 脆弱性対応 アプリケーションでは、アプリケーション脆弱性一致アイテム (AVIT) を自動的に作成し、アプリケーション脆弱性対応 ワークフローで修復するためのルールを設定する必要があります。詳細については、「ソフトウェア部品表 の探索」を参照してください。
sn_sbom_resp.manage_avi_rule ロールのユーザーは、取り込んだ SBOM データで検出された脆弱性の AVIT を作成する前に、SBOM ワークスペースに AVIT 作成ルールを追加しておく必要があります。AVIT を使用すると、アプリケーションで使用されているサードパーティコンポーネントの完全性を評価できます。脆弱性が関連付けられているコンポーネントとアプリケーションが一致したときに、インスタンスに AVIT が作成されます。
SBOM ワークスペースでは、SBOM AVIT のみを表示できます。ただし、脆弱性対応 の脆弱性マネージャーワークスペースでは、SBOM AVIT を他のタイプの脆弱性一致アイテムとともに表示できます。リストモジュールの SBOM ワークスペースで作成されたすべての AVIT を表示できます。リストモジュールには、すべての NVD エントリーおよび CWE エントリーとアプリケーション脆弱性も含まれています。
脆弱性情報データベース (NVD) などの既知の脆弱性リストからの推奨事項に基づいて、修復のために AVIT をアサインすることもできます。スケジュール済みジョブがトリガーされ、取り込まれたデータが作成ルールの条件と一致すると、AVIT が作成されます。
カスタマイズされたルールを設定することで、AVIT を追跡および修復できます。
ルールの作成方法については、「ソフトウェア部品表ワークスペースでアプリケーション脆弱性一致アイテムルールを作成する」を参照してください。
脆弱性対応の脆弱性マネージャーワークスペースでの SBOM AVIT
アクセスできる場合は、脆弱性マネージャーワークスペースの SBOM ワークスペースで作成された SBOM AVIT を表示できます。
脆弱性マネージャーのワークスペースの詳細、監視トピックの表示方法、アプリケーションの修復作業、および脆弱性マネージャーワークスペースで脆弱性対応アプリケーションから構成された AVIT のアプリケーション修復タスクルールの詳細については、「脆弱性マネージャーワークスペース でウォッチトピックを使用する」を参照してください。
修復タスク (AVUL) は AVIT から作成され、アサインルールに基づいて修復のためにグループに自動的にアサインされます。これらのルールの作成方法の詳細については、以下のトピックを参照してください。
SBOM Response でのアプリケーション脆弱性一致アイテムの再オープン
- サードパーティ統合の脆弱性スキャンにより脆弱性に関連する AVIT が再度検出された場合、または後の SBOM のアップロードにおいて脆弱性を有するコンポーネントが含まれていた場合。
- [(sn_sbom_resp.reopen_avits_if_detected) の検出された場合に AVIT を再オープンする] のシステムプロパティが非アクティブ化されていない。このシステムプロパティはデフォルトでアクティブ化されています。
- クローズ済み AVIT のサブステートが、「コントロールの緩和を実施」、「影響なし」、「誤検出」 のいずれでもない。これらのサブステートの AVIT は、システムプロパティによって再オープンされません。
このシステムプロパティは、クローズ済みの AVIT を自動的に再オープンしない場合にのみ非アクティブにしてください。