Software Bill of Materials erkunden

  • Freigeben Version: Yokohama
  • Aktualisiert 26. Februar 2025
  • 4 Minuten Lesedauer

    • Identifizieren Sie die in den -Anwendungen Ihrer Organisation verwendeten -Komponenten anhand der -Dateien Software Bill of Materials (SBOM), die Sie in Ihre -Instanz hochladen. Machen Sie sich mit allen Risiken vertraut, die mit der Verwendung von Open Source-Software verbunden sind, um Ihr potenzielles Risiko zu ermitteln, die Lizenz-Compliance anzuzeigen und Schwachstellen zu beheben.

    Software Bill of Materials – Übersicht

    Open Source- und Drittpartei-Komponenten bieten Ihnen viele Vorteile für die schnelle Erstellung und Veröffentlichung Ihrer Softwareprojekte. In einigen Fällen sind jedoch mit der Verwendung öffentlich zugänglicher Komponenten Risiken verbunden, z. B.:

    • Mangelnde Transparenz der Komponentenintegrität
    • Schwachstellen in der Open Source-Software
    • Package Intelligence für Open Source-Software
    • Nicht konforme Softwarelizenzen

    Sie können Ihre Software-Stücklistendateien über eine API oder manuell hochladen. Zeigen Sie die Dateien an, die Sie als Entitäten importieren. Hierbei handelt es sich um Bestände der in Ihrer Software verwendeten Komponentenbibliotheken von Drittparteien, einschließlich aller vorübergehenden Abhängigkeiten und verfügbaren Lizenzierungsinformationen.

    Weitere Informationen dazu, was in den Softwarebeständen in den SBOMs „CycloneDX“ und „SPDPX“ enthalten ist, finden Sie unter CycleneDX – Software-Stückliste (Software Bill of Material, SBOM) und SPX.

    Software Bill of Materials – Anwender

    Tabelle : 1. Anwender
    Anwender Beschreibung
    Schwachstellenmanager und -analysten Zeigen Sie hochgeladene Software-Stücklistendateien in Datensätzen, Datenvisualisierungen sowie erweiterte Schwachstelleninformationen im Arbeitsbereich Software Bill of Materials (SBOM) an.

    Schwachstellenmanager und Analysten verwenden diese Informationen, um die Compliance der Softwarelizenzierung und das potenzielle Risiko bei der Verwendung von Open Source-Software zu bestimmen.
    Zu diesen Anwendern gehören unter anderem:
    • Anwälte für Technologie oder Software
    • IT-Manager
    • Auditoren
    • Software-Asset-Manager und -Teams
    		 Zeigen Sie hochgeladene proprietäre und Open Source-Softwarelizenzen für Komponenten Ihrer hochgeladenen SBOM -Dateien an.

    Erstellen Sie eine Datenbank mit proprietären und Open Source-Softwarelizenzen für die Komponenten.

    Überprüfen und klassifizieren Sie Lizenzen mit fehlenden Informationen gemäß Ihren internen oder behördlichen Richtlinien.

    Ordnen Sie Ihre Komponenten Lizenzen zu, bestimmen Sie Ihre allgemeine Lizenz-Compliance und sehen Sie sich Ihr potenzielles Risiko durch verbotene, eingeschränkte oder fehlende Lizenzen an.

    Software Bill of Materials – Workflow

    Mit den SBOM-Anwendungen können Sie Dateien hochladen und Details für Entitäten, Komponentenbestände, Schwachstellen und Softwarelizenzinformationen im Software-Bill-of-Materials-Arbeitsbereich (SBOM) anzeigen.

    • Laden Sie SBOM -Dateien mit einer API oder manuell hoch.
    • Überprüfen Sie die Komponenten in der Datei SBOM, die Sie in den Arbeitsbereich SBOM hochgeladen haben.
    • Überprüfen Sie die Komponentenlizenzinformationen aus hochgeladenen SBOM -Dateien, und klassifizieren Sie sie, um Ihr Risiko für eingeschränkte oder gesperrte Lizenzen zu identifizieren.
    • Bewerten Sie Ihre Gefährdung, und erstellen Sie angreifbare Elemente für Komponenten, denen Schwachstellen zugeordnet sind.
    • Zeigen Sie Berichte und Dashboards sowie Ihre allgemeine Lizenz-Compliance für hochgeladene SBOM -Komponenten auf der Homepage im -Arbeitsbereich SBOM an.

    Software Bill of Materials – Vorteile

    Mit drei Software-Stücklisten-Anwendungen können Sie einen genauen Bestand Ihrer Softwarekomponenten und der zugehörigen Risiken anzeigen:
    • Datenmodell für SBOM
    • SBOM Zentral
    • SBOM Antwort

    Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response-Kompatibilitätsmatrix und Releaseschemaänderungen.

    Tabelle : 2. SBOM – Vorteile
    Leistung Anwendung Unterstützte Versionen
    Diese Anwendung stellt die Tabellen zum Speichern von Daten SBOM bereit. Diese Anwendung ist erforderlich. Sie enthält die Tabellen, ACLs und Rollen, die zum Lesen der Daten SBOM erforderlich sind. Datenmodell für SBOM v4.0, v3.0, v2.0
    Diese Anwendung ist erforderlich. Enthält die API, die zum Hochladen von SBOM -Dokumenten erforderlich ist, und die Geschäftslogik, die zum Analysieren und Importieren der Daten aus diesen Dokumenten in Ihre -Instanz erforderlich ist. Sie können einen Bestand Ihrer Softwarekomponenten im SBOM -Arbeitsbereich anzeigen, aber Sie können die Datenvisualisierungen nicht auf der Zielseite anzeigen.

    Laden Sie Ihre Software-Stücklistendateien in den Standards „CycloneDX“ und „SPDPX“ hoch, analysieren und verarbeiten Sie sie. Die unterstützten Dateiformate und Versionen für diese Produkte finden Sie in der Spalte Unterstützte Versionen. Zeigen Sie Stücklistenentitäten (Stückliste) und einen Bestand Ihrer Softwarekomponenten an. Eine Stücklistenentität ist die Komponente der Stammebene in einer SBOM-Datei. Für ein Element mit dem Typ „CycloneDX SBOM“ wird beispielsweise die in den Metadaten aufgeführte Komponente als Stücklistenentität betrachtet.

    		 SBOM Zentral

    v6.0, v5.0, v4.0

    Ab Version 4.0 unterstützt SBOM Core:

    • XML- und JSON-Versionen 1.0 bis 1.6 von Epic (CycloneDX)
    • JSON-Versionen 2.2 bis 2.3 von SPX.
    • Die AntwortSBOM ist erforderlich, wenn Sie auf die Funktionen und Datenvisualisierungen auf der Zielseite im SBOM- Arbeitsbereich zugreifen möchten.
    • SBOM Response erfordert die Anwendung Vulnerability Response.
    • Zeigen Sie im Arbeitsbereich SBOM Ihren Komponentenbestand an, und bewerten Sie Ihr Risiko. Richten Sie Regeln ein, um automatisch angreifbare Elemente in der Anwendung (Application Vulnerable Items, AVITs) zu erstellen und sie mit dem Workflow Application Vulnerability Response zu korrigieren.
    • Zeigen Sie Komponentenlizenzinformationen an, die mit Ihren SBOM -Dateien im Lizenzverwaltungsmodulhochgeladen werden. Klassifizieren und lösen Sie die Komponenten, die Sie in Ihren Application Vulnerability Response -Dateien hochladen, in Lizenzen, um den Status Ihrer allgemeinen Lizenz-Compliance anzuzeigen.
    • Ab Version 4.0 von Application Vulnerability Response Response können Sie Komponenten, die als veraltet oder verworfen als „Nicht konform“ gekennzeichnet sind, in der Schnittstelle Policy as Code Engine (PaCE) anzeigen, die im Arbeitsbereich SBOM verfügbar ist.

    • Die OSV.dev- und Deps.dev-Integrationen sind in der Installation von SBOM Response enthalten.

      • OSV.dev ist eine Open-Source-API, die Vulnerability Intelligence-Informationen für eine bestimmte Version eines Pakets oder einer bestimmten Bibliothek bereitstellt.
      • Deps.dev ist eine Open-Source-API, die eine Versionsliste für ein bestimmtes Paket oder eine bestimmte Bibliothek bereitstellt und Komponenten identifiziert, die sich im Status „Veraltet“ und „Verworfen“ befinden.

      Weitere Informationen finden Sie unter Deps.dev-, OSV.dev- und PaCE-Integrationen für konfigurieren Software Bill of Materials.

      Weitere Informationen zu PaCE und PaCE-Richtlinien finden Sie unter Integrating PaCE with other applications.

    		 SBOM Antwort v6.0, v5.0, v4.0
    Generieren und laden Sie Software Bill of Materials (SBOM) Dateien für Software während der Entwicklungszyklen für kontinuierliche Integration und kontinuierliche Bereitstellung hoch. SBOM Antwort
    • Datenmodell für SBOM: v1.4 und höher.
    • SBOM Core: v3.0 und höher.
    • SBOM Antwort: v4.0 und höher.

    Empfehlungen für weitere Themen

    Weitere Informationen über die Konfiguration und den Einsatz von Software Bill of Materials finden Sie unter: