Überprüfen von Software Bill of MaterialsEntität für Schwachstellen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Legen Sie fest, ob den Komponenten in einem hochgeladenen Schwachstellen zugeordnet sind Software Bill of Materials( SBOM)-Datei.

    Die folgenden Anwendungen müssen installiert und aktiviert werden, bevor Sie die Schwachstellen und erweiterten Schwachstellendaten anzeigen können:
    • SBOM Antwort
    • Integration der Schwachstellenantwort mit NVD- und CWE-Aufträgen
    • Vulnerability Response
    Weitere Informationen finden Sie unter Software Bill of Materials erkunden.

    Erforderliche Rolle: sn_sbom_resp.sbom_analyst

    1. Navigieren zu Alle > SBOM-Arbeitsbereich > Komponentenan.
    2. Sie können Schwachstelleninformationen entweder über eine Visualisierung oder einen Komponentendatensatz anzeigen.
      Methode Aktionen
      Stücklistenentitäten mit Schwachstellenvisualisierung Wählen Sie aus Stücklistenentitäten mit Schwachstellen Visualisierungsdiagramm.
      • Wenn dieser Komponente Schwachstellen zugeordnet sind, werden die Summen in den Spalten CVE und CWE in der Liste angezeigt. Eine Komponente kann mehr als eine Schwachstelle aufweisen. Falls verfügbar, können Sie die Spalte Behebbarkeit in dieser Liste auf Einträge überprüfen.
      • Wenn dieser Komponente keine Schwachstellen zugeordnet sind, werden diese Spalten angezeigt 0 Oder keine Werte für die Komponente.

      Wenn die Spalten CVE, CWE und Fixierbarkeit nicht angezeigt werden, können Sie sie der Seite hinzufügen, indem Sie das Zahnradsymbol auswählen ZahnradsymbolOben rechts auf der Seite und Bearbeiten Sie Spalten . Wählen Sie sie aus der Liste der verfügbaren Spalten aus, und wählen Sie aus OK .
      Komponentendatensatz
      1. Wählen Sie einen Datensatz aus der Liste unter den Visualisierungen aus.
      2. Wählen Sie aus Schwachstellen Registerkarte im Datensatz.
        1. Wenn keine Daten angezeigt werden, sind dem Datensatz keine gemeldeten Schwachstellen zugeordnet.
        2. Wenn Daten angezeigt werden, siehe Das Komponentenmodul in wird überprüft Software Bill of MaterialsArbeitsbereichUnd befolgen Sie die Schritte im Korrekturworkflow für Application Vulnerability ResponseUm die Schwachstelle zu beheben.

          Weitere Informationen finden Sie unter Wird Korrigiert Application Vulnerability ResponseSchwachstellen.

    Bewerten Sie Ihr Risiko mit Schwachstellen-Intelligence

    Zeigen Sie weitere erweiterte Schwachstellendaten mit an SBOMAntwort auf Komponentendatensätze. Die SBOMGeplante Aufgaben der Antwortanwendung, der Schwachstellenantwort, der Integration der nationalen Schwachstellendatenbank (NVD) und der allgemeinen Schwachstellenaufzählung (CWE), die in beschrieben werden Unterstützte Anwendungen Muss installiert und aktiviert sein.

    1. Wählen Sie aus Alle Komponenten Visualisierung, um die Liste der zugehörigen Datensätze anzuzeigen.
    2. Wählen Sie einen Link in aus Name Spalte zum Öffnen eines Datensatzes.

      Die Status, Veraltet , Verworfen , Und Angreifbar Werden unter dem Komponentennamen angezeigt. Eine Komponente kann eine beliebige Kombination dieser status haben. Wenn kein Status angezeigt wird, ist die Komponente nicht veraltet, verworfen oder angreifbar.

      Überprüfen Sie die aktuelle Version und die neueste veröffentlichte Version. Im rechten Bereich können Sie einen Versionsverlauf anzeigen. Die aktuelle Version wird im Versionsverlauf hervorgehoben, und ihr Speicherort in der Liste kann Ihnen Einblicke geben, warum eine Komponente ist Veraltet , Verworfen , Und Angreifbar . Sie können beispielsweise eine ältere Version einer Komponente verwenden.

    3. Wählen Sie aus Übersicht , Hashes , Stücklistenentitäten , Schwachstellen , Und Avis Zugehörige Registerkarten im Datensatz.
      • Übersicht: Eine Zusammenfassung der Komponentendetails.
      • Stücklistenentitäten: Eine Liste der Entitäten, die dieser Komponente zugeordnet sind.
      • Hashes: Wenn importiert, werden Hashes angezeigt.
      • Schwachstellen: Informationen zu bekannten Schwachstellen, die dieser Komponente zugeordnet sind. Wenn diese Liste leer ist, sind keine Schwachstellen bekannt.

        Wenn die Liste ausgefüllt ist, wählen Sie die Registerkarte aus, um Schwachstellen-IDs, Zusammenfassungen und andere Schwachstelleninformationen für Daten zu allgemeinen Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVE) und CWE-Daten anzuzeigen, die diesem Datensatz zugeordnet sind. CVEs werden nach Schweregrad aufgeschlüsselt, CWEs werden nach der Wahrscheinlichkeit aufgeschlüsselt, mit der die Komponente ausgenutzt werden kann. Sie können die erweiterten Schwachstellendatensätze in anzeigen Vulnerability ResponseOder Application Vulnerability ResponseAnwendungen, indem Sie den Link für die Schwachstellen-ID auswählen.

      • Avis (AVITs): Angreifbare Anwendungselemente, die dieser Komponente zugeordnet sind, wenn Sie AVIT-Erstellungsregeln erstellt haben, die die Komponente mit einer bekannten Schwachstelle abgleichen. Die Anwendung „Anwendungsschwachstellenantwort“ (Application Vulnerability Response, AVR) bezieht eine Schwachstelle auf eine Anwendung, um einen AVI-Datensatz zu erstellen. Weitere Informationen finden Sie unter Erstellen von Regeln für angreifbare Anwendungselemente in Software Bill of MaterialsArbeitsbereich.