Software Bill of Materials 탐색

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기5분

    • 인스턴스에 업로드하는 (SBOM) 파일에서 조직의 애플리케이션에 Software Bill of Materials 사용되는 구성요소를 식별합니다. 오픈 소스 소프트웨어 사용과 관련된 모든 위험을 이해하면 잠재적인 노출을 확인하고 취약성을 수정하는 데 도움이 됩니다.

    사용 가능한 Software Bill of Materials 버전

    릴리스 버전 릴리스 정보
    데이터 모델 SBOM

    v1.3, v1.1, v1.0

    호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경 내용을 참조하십시오.

    Application Vulnerability Response release notes
    SBOM Core

    v2.1, v2.0, v1.0
    SBOM 응답

    v3.1, v3.0, v2.0

    SBOM 사용 사례

    타사 및 오픈 소스 구성 요소는 소프트웨어 프로젝트의 신속한 생성 및 릴리스를 위한 많은 이점을 제공합니다. 그러나 경우에 따라 다음과 같이 공개적으로 액세스할 수 있는 구성 요소를 사용하는 것과 관련된 위험이 있습니다.

    • 구성요소 무결성에 대한 가시성 부족
    • 소프트웨어의 취약성
    • 라이센스 규정 준수
    세 가지 Software Bill of Materials 애플리케이션을 사용하여 소프트웨어 구성요소의 정확한 인벤토리를 볼 수 있습니다.
    • 데이터 모델 SBOM
    • SBOM Core
    • SBOM 응답

    API를 통해 또는 수동으로 소프트웨어 BOM 파일을 업로드할 수 있습니다. 전이 종속성을 포함하여 소프트웨어에 사용되는 외부 공급업체 구성요소 라이브러리의 인벤토리인 엔터티로 임포트하는 파일을 봅니다. CycloneDX SBOM의 소프트웨어 인벤토리에 포함된 항목에 대한 자세한 내용은 CycloneDX - SBOM(소프트웨어 자재 명세서)을 참조하십시오.

    SBOM에 대한 데이터 모델

    이 애플리케이션은 SBOM 데이터를 저장하는 데 사용되는 테이블을 제공합니다.

    SBOM Core

    CycloneDXJSON 형식의 Now Platform® 소프트웨어 BOM 파일을 인스턴스에 업로드, 구문 분석 및 처리합니다. BOM(Bill of Materials) 엔터티와 소프트웨어 구성요소 인벤토리를 봅니다. BOM 엔터티는 SBOM 파일의 루트 수준 구성 요소입니다. 예를 들어 CycloneDX SBOM의 경우 메타데이터에 나열된 구성 요소는 BOM 엔터티로 간주됩니다.

    SBOM 응답

    SBOM Workspace에서 구성 요소 인벤토리를 보고 위험 노출을 평가합니다. 알려진 취약성이 소프트웨어 구성요소와 연결되어 있는지 여부를 식별하고 기타 상세 정보와 함께 라이센스 및 버전 정보를 볼 수 있습니다.

    ServiceNow® SBOM 애플리케이션에 대한 자세한 내용은 다음 표를 참조하십시오.

    표 1. 에 필요한 애플리케이션 SBOM
    ServiceNow 애플리케이션 설명
    데이터 모델 SBOM 이 응용 프로그램은 필수입니다. 여기에는 데이터를 읽는 SBOM 데 필요한 테이블, ACL 및 역할이 포함됩니다.
    SBOM 코어 이 응용 프로그램은 필수입니다. 여기에는 문서를 업로드 SBOM 하는 데 필요한 API와 해당 문서의 데이터를 구문 분석하고 인스턴스로 임포트하는 데 필요한 비즈니스 논리가 포함됩니다. v2.1부터 SBOM 작업 공간에서 소프트웨어 구성 요소의 인벤토리를 볼 수 있습니다.
    SBOM 응답

    Response 애플리케이션을 설치하는 SBOM 경우 Vulnerability Response 애플리케이션이 필요합니다. Response를 설치하기 전에 Vulnerability Response를 설치합니다 SBOM .

    SBOM Workspace에서 구성 요소 인벤토리를 보고 위험 노출을 평가합니다. AVIT(애플리케이션 취약한 항목)를 자동으로 생성하고 Application Vulnerability Response 워크플로우를 사용하여 정정하는 규칙을 설정합니다.

    OSV.dev 및 Deps.dev 통합은 SBOM Response를 설치할 때 포함됩니다.

    • OSV.dev 는 지정된 버전의 패키지 또는 라이브러리에 대한 취약성 인텔리전스 정보를 제공하는 오픈 소스 API입니다.
    • Deps.dev 는 지정된 패키지 또는 라이브러리에 대한 버전 목록을 제공하는 오픈 소스 API입니다.

    지원되는 타사 취약성 인텔리전스 및 기타 통합을 설치하면 부실 및 중단된 것으로 간주되는 구성요소의 개수와 구성요소와 관련된 취약성을 수정할 수 있는지에 대한 정보를 볼 수 있습니다. ServiceNow® 다음 테이블에 나열된 애플리케이션 및 외부 공급업체 통합은 애플리케이션에서 SBOM 지원됩니다. 이러한 애플리케이션은 보강된 취약성 데이터, 취약성 인텔리전스 및 파일과 관련된 SBOM 취약성을 보고 우선순위를 지정하는 데 도움이 될 수 있는 기타 주요 정보를 제공합니다. 이러한 모든 애플리케이션 및 통합은 ServiceNow Store.
    표 2. 에 대해 지원되는 기타 애플리케이션 SBOM
    애플리케이션 설명
    Vulnerability Response 응답 애플리케이션을 설치하는 SBOM 경우 필요합니다. Application Vulnerability Response 기능은 Vulnerability Response와 함께 설치됩니다. 이러한 기능을 사용하면 Vulnerability Response 애플리케이션의 취약성 관리자 작업 공간 및 취약성 워크플로우에 액세스하여 애플리케이션 취약 항목(AVIT)을 정정할 수 있습니다. NVD(국가 취약성 데이터베이스), CWE(일반적인 약점 열거) 및 타사 애플리케이션 취약성 데이터에 대한 액세스를 제공합니다.
    NVD 및 CWE 예약된 작업과 Vulnerability Response 통합 향상된 NVD 취약성 및 심각도 데이터를 봅니다. Response를 설치한 SBOM 경우 NVD 및 CWE 통합에서 가져온 데이터를 보고 데이터에서 찾을 수 있는 취약성 데이터를 보강할 수 있습니다 SBOM .

    자세한 내용은 NVD 및 CWE 통합을 사용하여 데이터 임포트 및 타사 라이브러리 관리 문서를 참조하십시오.
    Veracode Vulnerability Integration 를 사용하여 소프트웨어 BOM 파일을 임포트합니다 Veracode Vulnerability Integration. 이 통합이 이미 설치되어 있는 경우 가져온 Veracode SBOM 데이터를 CycloneDX JSON 형식으로 업로드할 수도 있습니다.