これらのアプリケーションを使用すると、SBOM ファイルをインスタンスにアップロードおよびインポートできます。SBOM Core がインストールされている場合は、SBOMワークスペースで BOM エンティティおよびコンポーネントデータを表示できます。

SBOM Response がインストールされている場合は、SBOMワークスペースで BOM エンティティ、コンポーネントデータ、およびデータの可視化を表示できます。

• SBOMデータモデル
• SBOM Core

• 脆弱性対応 とその依存関係
• NVD の脆弱性対応統合
• SBOM Response

これらおよびその他のサポートされている SBOM アプリケーションの詳細については、「ソフトウェア部品表 の探索」を参照してください。

アプリケーションが正常にアクティブ化されると、メッセージが表示されます。以下の順序でプラグインを有効にします。

• 脆弱性対応 とその依存関係
• NVD の脆弱性対応統合
• SBOM データモデル
• SBOM Core
• SBOM 応答。OSV.dev と Deps.dev の統合が含まれ、 SBOM ワークスペースの Policy as Code Engine (PaCE) インターフェイスをサポートします。

SBOM 応答のインストール後におけるこれらの統合アプリケーションの構成について、詳細は の Deps.dev、OSV.dev、および PaCE 統合の構成 ソフトウェア部品表 を参照してください。

これらの統合と提供される機能の詳細については、「ソフトウェア部品表 の探索」を参照してください。

• Vulnerability Response Integration with Veracode。詳細については、「ServiceNow Vulnerability Response Integration with Veracode のインストール」を参照してください。
• NVD の脆弱性対応統合は、アップロードされたコンポーネントに関連付けられている脆弱性の拡張データを表示する場合に必要です。詳細については、「NVD 統合の概要」を参照してください。
• CWE Comprehensive 2000 Integration。このスケジュール済みジョブのアクティブ化の詳細については、「CWE レコードの更新のためのスケジュール済みジョブの構成および実行」を参照してください。

アプリケーションが正常にアクティブ化されると、メッセージが表示されます。

• sn_sbom_dm.app_create
• sn_sbom_dm.app_read
• sn_sbom_dm.app_write
• sn_sbom_core.sbom_ingest
• sn_sbom_core.admin
• sn_sbom_resp.sbom_analyst
• sn_sbom_resp.manage_avi_rule
• sn_sbom_response.managelicense
• sn_sbom_response.licenseResolver

アプリセキュリティマネージャーグループにアサインされたユーザーは、アプリケーション脆弱性一致アイテムに優先順位を付けて管理します。このグループのユーザーは、レコードの読み取りと編集、およびアプリケーションとその修復ワークフローでサポートされている アプリケーション脆弱性対応 アプリケーションの設定に必要な多くのロールを継承します。

次の条件が存在する場合、脆弱性が関連付けられているコンポーネントの クローズ済みの アプリケーション脆弱性一致アイテム (AVIT) が自動的に再オープン ( [オープン] に設定) され、SBOM ワークスペースに表示されます。

• 脆弱性が関連付けられている AVIT がサードパーティ統合の脆弱性スキャンによって再度検出されたか、脆弱性のあるコンポーネントが後続の SBOM アップロードの一部となっている場合。
• [検出された場合は AVIT を再オープン (sn_sbom_resp.reopen_avits_if_detected)] システムプロパティを無効にしていません。このシステムプロパティはデフォルトで有効になっています。
• クローズ済み AVIT のサブステートが、[緩和コントロールを実施]、[影響を受けていない]、または [誤検出] のいずれでもない。これらのサブステートを持つ AVIT は、システムプロパティによって再オープンされません。