Eine Software Bill of Materials -Entität wird auf Schwachstellen überprüft

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Ermitteln Sie, ob den Komponenten in einer hochgeladenen Datei Software Bill of Materials (SBOM) Schwachstellen zugeordnet sind.

    Die folgenden Anwendungen müssen installiert und aktiviert werden, bevor Sie die Schwachstellen und erweiterten Schwachstellendaten anzeigen können:
    • SBOM Antwort
    • Integration von Vulnerability Response mit NVD- und CWE-Aufträgen
    • Vulnerability Response
    Weitere Informationen finden Sie unter Software Bill of Materials erkunden.

    Erforderliche Rolle: sn_sbom_resp.sbom_analyst

    1. Navigieren zu Alle > SBOM-Arbeitsbereich > Komponenten.
    2. können Sie Schwachstelleninformationen entweder über eine Visualisierung oder einen Komponentendatensatz anzeigen.
      Methode Aktionen
      Visualisierung von Stücklistenentitäten mit Schwachstellen Wählen Sie das Visualisierungsdiagramm Stücklistenentitäten mit Schwachstellen aus.
      • Wenn dieser Komponente Schwachstellen zugeordnet sind, werden die Gesamtzahlen in den Spalten CVE und CWE in der Liste angezeigt. Eine Komponente kann mehr als eine Schwachstelle aufweisen. Wenn verfügbar, können Sie die Spalte „Behebbarkeit“ in dieser Liste auf Einträge überprüfen.
      • Wenn dieser Komponente keine Schwachstellen zugeordnet sind, zeigen diese Spalten 0 oder keine Werte für die Komponente an.

      Wenn die Spalten CVE, CWE und Fixability nicht angezeigt werden, können Sie sie der Seite hinzufügen, indem Sie das Zahnradsymbol Zahnradsymbol oben rechts auf der Seite auswählen und Spalten bearbeiten auswählen. Wählen Sie sie in der Spaltenliste Verfügbar aus, und wählen Sie OK.
      Komponentendatensatz
      1. Wählen Sie in der Liste unter den Visualisierungen einen Datensatz aus.
      2. Wählen Sie die Registerkarte Schwachstellen im Datensatz aus.
        1. Wenn keine Daten angezeigt werden, sind dem Datensatz keine gemeldeten Schwachstellen zugeordnet.
        2. Wenn -Daten angezeigt werden, rufen Sie Überprüfung des Komponentenmoduls im Arbeitsbereich Software Bill of Materials auf und befolgen Sie die Schritte im Nachbesserungs-Workflow für Application Vulnerability Response, um die Schwachstelle zu beheben.

          Weitere Informationen finden Sie unter Application Vulnerability Response Schwachstellen werden behoben.

    Risiko mit Vulnerability Intelligence bewerten

    Zeigen Sie erweiterte Schwachstellendaten mit der Antwort SBOM für Komponentendatensätze an. Die Anwendung SBOM Response, Vulnerability Response, Integration der National Vulnerability Database (NVD) und Common Weakness Enumeration (CWE), die unter Unterstützte Anwendungen beschrieben werden, müssen installiert und aktiviert sein.

    1. Wählen Sie die Visualisierung Alle Komponenten aus, um die Liste der zugehörigen Datensätze anzuzeigen.
    2. Wählen Sie einen Link in der Spalte Name aus, um einen Datensatz zu öffnen.

      Die Status, Veraltet, Verworfenund Angreifbar werden unter dem Komponentennamen angezeigt. Eine Komponente kann eine beliebige Kombination dieser Status aufweisen. Wenn kein Status angezeigt wird, ist die Komponente nicht veraltet, verworfen oder angreifbar.

      Überprüfen Sie die aktuelle Version und die zuletzt veröffentlichte Version. Im rechten Bereich können Sie einen Versionsverlauf anzeigen. Die aktuelle Version wird im Versionsverlauf hervorgehoben, und ihre Position in der Liste gibt Ihnen möglicherweise Aufschluss darüber, warum eine Komponente veraltet, verworfenund angreifbarist. Beispielsweise könnten Sie eine ältere Version einer Komponente verwenden.

    3. Wählen Sie im Datensatz die zugehörigen Registerkarten Übersicht, Hashes, Stücklistenentitäten, Schwachstellenund AVIs aus.
      • Übersicht: Eine Zusammenfassung der Komponentendetails.
      • Stücklistenentitäten: Eine Liste der Entitäten, die dieser Komponente zugeordnet sind.
      • Hashes: Bei Import werden Hashes angezeigt.
      • Schwachstellen: Informationen zu bekannten Schwachstellen, die dieser Komponente zugeordnet sind. Wenn diese Liste leer ist, sind keine Schwachstellen bekannt.

        Wenn die Liste ausgefüllt ist, wählen Sie die Registerkarte aus, um Schwachstellen-IDs, Zusammenfassungen und andere Schwachstelleninformationen für Common Vulnerabilities and Exposures-Daten (CVE) und Common Weakness Enumeration-Daten (CWE) anzuzeigen, die diesem Datensatz zugeordnet sind. CVEs werden nach Schweregrad aufgeschlüsselt, CWEs werden danach aufgeschlüsselt, wie wahrscheinlich es ist, dass die Komponente ausgenutzt wird. Sie können die erweiterten Schwachstellen-Datensätze in den Anwendungen Vulnerability Response oder Application Vulnerability Response anzeigen, indem Sie den Link Schwachstellen-ID wählen.

      • AVIs (AVITs): Angreifbare Anwendungselemente, die dieser Komponente zugeordnet sind, wenn Sie AVIT-Erstellungsregeln erstellt haben, die die Komponente mit einer bekannten Schwachstelle abgleichen. Die Anwendung Application Vulnerability Response (AVR) verknüpft eine Schwachstelle mit einer Anwendung, um einen AVI-Datensatz zu erstellen. Weitere Informationen finden Sie unter Erstellen von Regeln für angreifbare Anwendungselemente im Arbeitsbereich Software Bill of Materials.