Explorando Lista de materiais de software

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • Identifique os componentes usados nas aplicações da sua organização de Lista de materiais de software( SBOM arquivos que você carrega em sua instância. Entenda todos os riscos associados ao uso de software de código aberto para ajudar você a determinar sua possível exposição, exibir a conformidade de licença e corrigir vulnerabilidades.

    Visão geral Lista de materiais de software

    Componentes de terceiros e de código aberto oferecem muitas vantagens para a rápida criação e lançamento de seus projetos de software. No entanto, em alguns casos, há riscos associados ao uso de componentes acessíveis publicamente, como os seguintes:

    • Falta de visibilidade da integridade do componente
    • Vulnerabilidades no software de código aberto
    • Inteligência de pacote para software de código aberto
    • Licenças de software fora de conformidade

    Você pode carregar seus arquivos de lista de materiais de software por meio de uma API ou manualmente. Exiba os arquivos que você importa como entidades, que são inventários das bibliotecas de componentes de terceiros usadas em seu software, incluindo dependências transitivas e informações de licenciamento disponíveis.

    Para obter mais informações sobre o que está incluído nos inventários de software no CycloneDX e SPDX SBOMs, consulte CycloneDX - Lista de materiais de software (SBOM) e. SPDX .

    Lista de materiais de software usuários

    Tabela 1. Usuários
    Usuário Descrição
    Gerentes e analistas de vulnerabilidades Exiba arquivos de lista de materiais de software carregados em registros, visualizações de dados, bem como inteligência de vulnerabilidades aprimorada no Lista de materiais de software( SBOM) Espaço.

    Gerentes e analistas de vulnerabilidades usam essas informações para ajudá-los a determinar sua conformidade de licenciamento de software e a possível exposição a riscos com o uso de software de código aberto.
    Usuários que podem incluir, mas não estão limitados a:
    • Advogados de tecnologia ou software
    • Gerentes DE TI
    • Auditores
    • Gerentes e equipes de ativos de software
    		 Exibir licenças de software proprietárias e de código aberto carregadas para componentes do carregados SBOM arquivos.

    Crie um banco de dados de licenças de software proprietárias e de código aberto para os componentes.

    Revise e classifique licenças com informações ausentes de acordo com suas políticas internas ou regulatórias.

    Corresponda seus componentes às licenças e determine a conformidade geral da licença e veja sua possível exposição a risco a licenças proibidas, restritas ou ausentes.

    Fluxo de trabalho do Lista de materiais de software

    As aplicações SBOM permitem carregar arquivos e exibir detalhes de entidades, inventários de componentes, vulnerabilidades e informações de licença de software no Espaço da Lista de materiais de software (SBOM).

    • Upload SBOM Arquivos com uma API ou manualmente.
    • Revise os componentes em SBOM arquivo carregado no SBOM Espaço.
    • Revise as informações de licença do componente carregadas SBOM e classificá-los para ajudar você a identificar sua exposição a licenças restritas ou proibidas.
    • Avalie sua exposição ao risco e crie itens vulneráveis para componentes que têm vulnerabilidades associadas.
    • Exiba relatórios e painéis, bem como a conformidade geral da licença para carregado SBOM Componentes na página inicial do SBOM Espaço.

    Benefícios do Lista de materiais de software

    Três aplicações de Lista de materiais de software permitem exibir um inventário preciso de seus componentes de software e riscos associados:
    • Modelo de dados para SBOM
    • SBOM Núcleo
    • SBOM Resposta

    Para obter informações de compatibilidade, consulte KB0856498 Mudanças na Matriz de compatibilidade de resposta a vulnerabilidades e no esquema de versão .

    Tabela 2. Benefícios do SBOM
    Benefício Aplicação Versões com suporte
    Esta aplicação fornece as tabelas usadas para armazenar SBOM dados. Esta aplicação é necessária. Ele inclui as tabelas, ACLs e funções que precisam ser lidas SBOM dados. Modelo de dados para SBOM v4.0, v3.0, v2.0
    Esta aplicação é necessária. Ele inclui a API necessária para carregar SBOM e a lógica de negócios necessários para analisar e importar os dados desses documentos para sua instância. Você pode exibir um inventário de seus componentes de software no SBOM, mas você não pode exibir as visualizações de dados na página principal .

    Carregue, analise e processe seus arquivos de lista de materiais de software nos padrões CycloneDX e SPDX. Consulte a coluna Versões compatíveis para obter os formatos de arquivo compatíveis e as versões desses produtos. Exiba entidades da lista de materiais (BOM) e um inventário dos componentes de software. Uma entidade de BOM é o componente de nível raiz em um arquivo SBOM. Por exemplo, para um CycloneDX SBOM, O componente listado nos metadados é considerado a entidade de BOM.

    		 SBOM Núcleo

    v6.0, v5.0, v4.0

    A partir da versão 4,0, SBOM O Core oferece suporte a:

    • XML e JSON versões 1,0 a 1,6 do CycloneDX.
    • JSON versões 2,2 a 2,3 do SPDX.
    • SBOM A resposta será necessária se você quiser acessar os recursos e os dados visualizações na página principal em SBOM Espaço.
    • SBOM A resposta requer Resposta a vulnerabilidades aplicação.
    • Exiba seu inventário de componentes e avalie sua exposição ao risco no SBOM Espaço. Configure regras para criar itens vulneráveis à aplicação (AVITs) automaticamente e corrija-os com Resposta a vulnerabilidades de aplicações fluxo de trabalho.
    • Exiba as informações de licença do componente carregadas com seu SBOM arquivos no Módulo de administração de licenças . Classifique e resolva (corresponda) os componentes que você carrega em Resposta a vulnerabilidades de aplicações arquivos para licenças para que você possa ver o estado da conformidade de licença geral.
    • A partir da versão 4,0 de Resposta a vulnerabilidades de aplicações Resposta, você pode exibir componentes identificados como obsoletos ou abandonados como "fora de conformidade" na interface Política como Mecanismo de código (Pace) que está disponível em SBOM Espaço.

    • As integrações de OSV.dev e Deps.dev são incluídas durante a instalação SBOM Resposta.

      • OSV.dev é uma API de código aberto que fornece informações de inteligência contra vulnerabilidades para uma determinada versão de um pacote ou biblioteca.
      • O Deps.dev é uma API de código aberto que fornece uma lista de versões para um determinado pacote ou biblioteca e identifica os componentes que estão no Obsoleto e. Abandonado estados.

      Para obter mais informações, consulte Configuração das integrações de Deps.dev, OSV.dev e Pace para Lista de materiais de software.

      Consulte Integrating PaCE with other applications Para obter mais informações sobre as políticas de ritmo e ritmo.

    		 SBOM Resposta v6.0, v5.0, v4.0
    Gerar e carregar Lista de materiais de software( SBOM arquivos de software durante toda a integração contínua e os ciclos de desenvolvimento de implantação contínua. SBOM Resposta
    • Modelo de dados para SBOM v1.4 e posterior.
    • SBOM Core: V3.0 e posterior.
    • SBOM Resposta: V4.0 e posterior.

    Resposta a vulnerabilidades aplicações e. CSDM tabelas

    . Resposta a vulnerabilidades, Resposta a vulnerabilidades de aplicações integrações de vulnerabilidades de terceiros e Lista de materiais de software gerenciar aplicações (contribuir com dados para) CSDM tabelas. Esses aplicativos também usam dados do CSDM tabelas geradas por outras aplicações. Vários ServiceNow os produtos, portanto, se beneficiam e agregam valor a eles Operações de segurança aplicações. Para obter mais informações, consulte Resposta a vulnerabilidades aplicações e. CSDM tabelas.

    O que explorar a seguir

    Para saber mais sobre como configurar e usar o Lista de materiais de software, consulte: