엔터티에 취약성이 Software Bill of Materials 있는지 확인

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기3분

    • 업로드 Software Bill of Materials 된()SBOM 파일의 구성요소와 취약성이 연결되어 있는지 확인합니다.

    다음 애플리케이션을 설치하고 활성화해야 취약성 및 향상된 취약성 데이터를 볼 수 있습니다.
    • SBOM 응답
    • NVD 및 CWE 작업과 Vulnerability Response 통합
    • Vulnerability Response
    자세한 내용은 Software Bill of Materials 탐색 문서를 참조하십시오.
    필요한 역할:
    • SBOM Core v2.1부터 - sn_sbom_resp.sbom_analyst
    • SBOM Core v2.1 이전 - sn_sbom_resp.admin
    1. 다음으로 이동 모두 > SBOM 작업 공간 > 구성요소레이블이 표시됩니다.
    2. SBOM Response 버전 3.1 이전에는 시각화 또는 구성요소 기록을 통해 취약성 정보를 확인하십시오.
      방법 동작
      취약성 시각화가 있는 BOM 엔터티 취약성이 있는 BOM 엔터티 시각화 그래프를 선택합니다.
      • 취약성이 이 구성 요소와 연결된 경우 목록의 CVE 및 CWE 열에 합계가 표시됩니다. 구성 요소에는 둘 이상의 취약성이 있을 수 있습니다. 사용 가능한 경우 이 목록의 고정성 열에서 항목을 확인할 수 있습니다.
      • 이 구성요소와 연결된 취약성이 없는 경우 이러한 열에는 구성요소 값이 0 또는 전혀 표시되지 않습니다.

      CVE, CWE 및 Fixibilty 열이 표시되지 않으면 페이지 오른쪽 위에 있는 기어 아이콘 기어 아이콘편집 열을 선택하여 페이지에 추가할 수 있습니다. 사용 가능한 열 목록에서 선택하고 확인을 선택합니다.
      구성요소 기록
      1. 시각화 아래 목록에서 기록을 선택합니다.
      2. 기록에서 취약성 탭을 선택합니다.
        1. 데이터가 표시되지 않으면 보고된 취약성이 기록과 연결되지 않은 것입니다.
        2. 데이터가 표시되면 수정 워크플로 Application Vulnerability Response 의 단계를 참조 작업 공간에서 구성요소 모듈 Software Bill of Materials 검토 하고 해당 단계에 따라 취약성을 해결하십시오.

          자세한 내용은 취약성 정정 Application Vulnerability Response 문서를 참조하십시오.

    취약성 인텔리전스로 위험 평가

    SBOM Response 버전 3.1부터 구성 요소 레코드에서 SBOM Response를 사용하여 더욱 향상된 취약성 데이터를 확인합니다. 지원되는 애플리케이션에 설명된 SBOM Response 애플리케이션, Vulnerability Response, NVD(국가 취약성 데이터베이스) 통합 및 CWE(Common Weakness Enumeration) 예약된 작업을 설치하고 활성화해야 합니다.

    1. 모든 구성요소 그래프를 선택하여 연결된 기록 목록을 봅니다.
    2. 이름 열에서 링크를 선택하여 기록을 엽니다.

      상태, 부실, 포기됨취약이 구성요소 이름 아래에 표시됩니다. 구성 요소에는 이러한 상태의 조합이 있을 수 있습니다. 상태가 표시되지 않으면 구성요소가 부실, 중단 또는 취약하지 않은 것입니다.

      현재 버전과 게시된 최신 버전을 검토합니다. 오른쪽 패널에서 버전 기록을 볼 수 있습니다. 현재 버전은 버전 기록에서 강조 표시되며 목록에서의 위치는 구성 요소가 부실, 중단취약한 이유에 대한 통찰력을 제공할 수 있습니다. 예를 들어 이전 버전의 구성요소를 사용 중일 수 있습니다.

    3. 기록의 개요, 해시, BOM 엔터티, 취약성AVI 관련 탭을 선택합니다.
      • Overview(개요) - 구성요소 상세 정보를 요약한 것입니다.
      • BOM 엔터티 - 이 구성요소와 연결된 엔터티의 목록입니다.
      • 해시 - 임포트하면 해시가 표시됩니다.
      • 취약성 - 이 구성요소와 연관된 알려진 취약점에 대한 정보입니다. 이 목록이 비어 있으면 알려진 취약점이 없는 것입니다.

        목록이 채워지면 탭을 선택하여 이 기록과 관련된 CVE(Common Vulnerabilities and Exposures) 및 CWE(Common Weakness Enumeration) 데이터에 대한 취약성 ID, 요약 및 기타 취약성 정보를 확인합니다. CVE는 심각도별로 분류되고, CWE는 구성 요소가 악용될 수 있는 가능성에 따라 분류됩니다. 취약성 ID 링크를 선택하여 OR Vulnerability ResponseApplication Vulnerability Response 애플리케이션에서 향상된 취약성 기록을 볼 수 있습니다.

      • AVIT(AVI) - 알려진 취약성과 구성요소와 일치하는 AVIT 생성 규칙을 생성한 경우 이 구성요소와 연결된 애플리케이션 취약한 항목입니다. AVR(Application Vulnerability Response) 애플리케이션은 취약성을 애플리케이션에 연결하여 AVI 기록을 생성합니다. 자세한 내용은 작업 공간에서 Software Bill of Materials 애플리케이션 취약한 항목에 대한 규칙 생성 문서를 참조하십시오.