ソフトウェア部品表 の探索

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:7分

    • インスタンスにアップロードする ソフトウェア部品表 (SBOM) ファイルから、組織のアプリケーションで使用されているコンポーネントを特定します。オープンソースソフトウェアの使用に関連するリスクを理解して、潜在的なエクスポージャーを判断し、ライセンスコンプライアンスを表示し、脆弱性を修正するのに役立ちます。

    ソフトウェア部品表の概要

    サードパーティおよびオープンソースのコンポーネントには、ソフトウェアプロジェクトを迅速に作成してリリースするための多くのメリットがあります。ただし、場合によっては、公開されているコンポーネントの使用に関連する次のようなリスクがあります。

    • コンポーネントの完全性の可視化の欠如
    • オープンソースソフトウェアの脆弱性
    • オープンソースソフトウェアのパッケージインテリジェンス
    • 非準拠ソフトウェアライセンス

    ソフトウェア部品表ファイルは、API を介して、または手動でアップロードできます。エンティティとしてインポートしたファイルを表示します。これは、ソフトウェアで使用されているサードパーティコンポーネントライブラリのインベントリです。これには、推移的な依存関係や利用可能なライセンス情報が含まれます。

    CycloneDX および SPDX SBOM のソフトウェアインベントリに含まれるものの詳細については、「CycloneDX - ソフトウェア部品表 (SBOM)」および「SPDX」を参照してください。

    ソフトウェア部品表ユーザー

    表 : 1. ユーザー
    ユーザー 説明
    脆弱性マネージャーと脆弱性アナリスト ソフトウェア部品表 (SBOM) ワークスペースでは、アップロードされたソフトウェア部品表ファイルをレコードで表示したり、データの可視化を行ったり、拡張脆弱性インテリジェンスを作成したりできます。

    脆弱性マネージャーと脆弱性アナリストは、この情報を使用して、ソフトウェアライセンスのコンプライアンスと、オープンソースソフトウェアを使用した場合の潜在的なリスクエクスポージャーを判断するのに役立ちます。
    以下のユーザーが含まれますが、これらに限定されません。
    • テクノロジーまたはソフトウェア弁護士
    • IT マネージャー
    • 監査人
    • ソフトウェア資産マネージャーとチーム
    		 アップロードした SBOM ファイルのコンポーネントについて、アップロードされた独自のソフトウェアライセンスとオープンソースのソフトウェアライセンスを表示します。

    コンポーネントのプロプライエタリおよびオープンソースのソフトウェアライセンスのデータベースを構築します。

    内部ポリシーまたは規制ポリシーに従って、情報が不足しているライセンスをレビューして分類します。

    コンポーネントをライセンスに一致させ、全体的なライセンスコンプライアンスを判断し、禁止、制限、または欠落したライセンスに対する潜在的なリスクエクスポージャーを確認します。

    ソフトウェア部品表 のワークフロー

    SBOM アプリケーションを使用すると、ファイルをアップロードし、ソフトウェア部品表 (SBOM) ワークスペースでエンティティ、コンポーネントインベントリ、脆弱性、およびソフトウェアライセンス情報の詳細を表示できます。

    • API を使用して、または手動で SBOM ファイルをアップロードします。
    • SBOMワークスペースにアップロードしたSBOMファイルのコンポーネントを確認します。
    • アップロードされた SBOM ファイルからコンポーネントライセンス情報を確認し、それらを分類して、制限付きまたは禁止されたライセンスへのエクスポージャーを特定するのに役立ちます。
    • リスクエクスポージャーを評価し、脆弱性が関連付けられているコンポーネントの脆弱性一致アイテムを作成します。
    • SBOMワークスペースのホームページで、レポートとダッシュボード、およびアップロードされたSBOMコンポーネントの全体的なライセンスコンプライアンスを表示します。

    ソフトウェア部品表 のメリット

    次の 3 つのソフトウェア部品表アプリケーションを使用すると、ソフトウェアコンポーネントと関連するリスクの正確なインベントリを表示できます。
    • SBOMデータモデル
    • SBOM Core
    • SBOM Response

    互換性情報については、「 KB0856498 Vulnerability Response 互換性マトリクスおよびリリーススキーマの変更」を参照してください。

    表 : 2. SBOM のメリット
    利益 アプリケーション サポート対象のバージョン
    このアプリケーションは、 SBOM データを格納するために使用されるテーブルを提供します。このアプリケーションは必須です。SBOM データを読み取るために必要なテーブル、ACL、およびロールが含まれています。 SBOMデータモデル v4.0、v3.0、v2.0
    このアプリケーションは必須です。SBOM ドキュメントをアップロードするために必要な API と、それらのドキュメントからデータを解析してインスタンスにインポートするために必要なビジネスロジックが含まれています。ワークスペースでソフトウェアコンポーネントのインベントリを表示できます SBOM が、ランディングページでデータの可視化を表示することはできません

    CycloneDX および SPDX 標準でソフトウェア部品表ファイルをアップロード、解析、および処理します。これらの製品でサポートされているファイル形式とバージョンについては、「サポートされているバージョン」列を参照してください。部品表 (BOM) エンティティとソフトウェアコンポーネントのインベントリを表示します。BOM エンティティは、SBOM ファイルのルートレベルコンポーネントです。たとえば、CycloneDX SBOMの場合、メタデータにリストされているコンポーネントは BOM エンティティと見なされます。

    		 SBOM Core

    v6.0、v5.0、v4.0

    バージョン 4.0 以降、 SBOM Core は以下をサポートしています。

    • CycloneDX の XML および JSON バージョン 1.0 から 1.6 まで。
    • SPDX の JSON バージョン 2.2 〜 2.3。
    • SBOMSBOM ワークスペースのランディングページの機能とデータの可視化にアクセスする場合は、応答が必要です。
    • SBOM 応答には 脆弱性対応 アプリケーションが必要です。
    • コンポーネントのインベントリを表示し、SBOM ワークスペースでリスクエクスポージャーを評価します。アプリケーション脆弱性一致アイテム (AVIT) を自動的に作成し、 アプリケーション脆弱性対応 ワークフローで修復するためのルールを設定します。
    • ライセンス管理モジュールで、SBOMファイルとともにアップロードされたコンポーネントライセンス情報を表示します。アプリケーション脆弱性対応ファイルでアップロードしたコンポーネントを分類して解決 (照合) し、全体的なライセンスコンプライアンスの状態を確認できるようにします。
    • 応答のバージョン 4.0 以降 アプリケーション脆弱性対応SBOM ワークスペースで利用可能な Policy as Code Engine (PaCE) インターフェイスで、「古い」と識別されたコンポーネントまたは破棄されたコンポーネントを ワークスペースで表示できます。

    • OSV.dev と Deps.dev の統合は、SBOM Response のインストール時に組み込まれます。

      • OSV.dev は、パッケージまたはライブラリの特定のバージョンの脆弱性インテリジェンス情報を提供するオープンソース API です。
      • Deps.dev は、特定のパッケージまたはライブラリのバージョンリストを提供し、 古い ステータスと 破棄 されたステータスのコンポーネントを識別するオープンソース API です。

      詳細については、「の Deps.dev、OSV.dev、および PaCE 統合の構成 ソフトウェア部品表」を参照してください。

      PaCE および PaCE ポリシーの詳細については、 Integrating PaCE with other applications を参照してください。

    		 SBOM Response v6.0、v5.0、v4.0
    継続的インテグレーションと継続的デプロイの開発サイクル全体を通じて、ソフトウェアの ソフトウェア部品表 (SBOM) ファイルを生成してアップロードします。 SBOM Response
    • SBOM のデータモデル:v1.4 以降。
    • SBOM コア:v3.0 以降。
    • SBOM 応答:v4.0 以降。

    脆弱性対応 アプリケーションCSDM テーブル

    テーブル 脆弱性対応アプリケーション脆弱性対応、サードパーティの脆弱性統合、および ソフトウェア部品表 アプリケーションは、 CSDM テーブルを管理 (データ提供) します。これらのアプリケーションは、他のアプリケーションが生成する CSDM テーブルのデータも使用します。したがって、いくつかの ServiceNow 製品は、これらの セキュリティオペレーション アプリケーションの恩恵を受け、価値を付加します。詳細については、「脆弱性対応 アプリケーション と CSDM テーブル」を参照してください。

    次に探索する内容

    ソフトウェア部品表を構成して使用する方法の詳細については、以下を参照してください。