Überprüfen von Software Bill of Materials Entität für Schwachstellen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Bestimmen Sie, ob den Komponenten in einem hochgeladenen Schwachstellen zugeordnet sind Software Bill of Materials( SBOM) Datei.

    Die folgenden Anwendungen müssen installiert und aktiviert werden, bevor Sie die Schwachstellen und erweiterten Schwachstellendaten anzeigen können:
    • SBOM Antwort
    • Vulnerability Response-Integration mit NVD- und CWE-Aufträgen
    • Vulnerability Response
    Weitere Informationen finden Sie unter Software Bill of Materials erkunden.

    Erforderliche Rolle: sn_sbom_resp.sbom_Analyst

    1. Navigieren zu Alle > SBOM-Arbeitsbereich > Komponentenan.
    2. Sie können Informationen zu Schwachstellen entweder über eine Visualisierung oder einen Komponentendatensatz anzeigen.
      Methode Aktionen
      Stücklistenentitäten mit Visualisierung von Schwachstellen Wählen Sie aus Stücklistenentitäten mit Schwachstellen Visualisierungsdiagramm.
      • Wenn dieser Komponente Schwachstellen zugeordnet sind, werden die Summen in den Spalten CVE und CWE in der Liste angezeigt. Eine Komponente kann mehr als eine Schwachstelle aufweisen. Falls verfügbar, können Sie die Spalte Korrekturfähigkeit in dieser Liste auf Einträge überprüfen.
      • Wenn dieser Komponente keine Schwachstellen zugeordnet sind, werden diese Spalten angezeigt 0 Oder keine Werte für die Komponente.

      Wenn die Spalten CVE, CWE und Fixibilty nicht angezeigt werden, können Sie sie der Seite hinzufügen, indem Sie das Zahnradsymbol wählen ZahnradsymbolOben rechts auf der Seite und Bearbeiten Sie Spalten . Wählen Sie sie aus der Liste der verfügbaren Spalten aus, und wählen Sie aus OK .
      Komponentendatensatz
      1. Wählen Sie einen Datensatz aus der Liste unter den Visualisierungen aus.
      2. Wählen Sie aus Schwachstellen Registerkarte im Datensatz.
        1. Wenn keine Daten angezeigt werden, sind dem Datensatz keine gemeldeten Schwachstellen zugeordnet.
        2. Informationen zur Anzeige von Daten finden Sie unter Überprüfen des Moduls „Komponenten“ in Software Bill of Materials Arbeitsbereich Und befolgen Sie die Schritte im Korrektur-Workflow für Application Vulnerability Response Um die Schwachstelle zu beheben.

          Weitere Informationen finden Sie unter Wird Korrigiert Application Vulnerability Response Schwachstellen.

    Bewerten Sie Ihr Risiko mit Vulnerability Intelligence

    Zeigen Sie mit erweiterte Schwachstellendaten an SBOM Antwort auf Komponentendatensätze. Die SBOM Geplante Aufgaben der Antwortanwendung, Vulnerability Response, Integration der National Vulnerability Database (NVD) und Common Weakness Enumeration (CWE), die in beschrieben werden Unterstützte Anwendungen Muss installiert und aktiviert sein.

    1. Wählen Sie aus Alle Komponenten Visualisierung, um die Liste der zugehörigen Datensätze anzuzeigen.
    2. Wählen Sie einen Link in aus Name Spalte zum Öffnen eines Datensatzes.

      Die Status, Veraltet , Verworfen , Und Angreifbar Werden unter dem Komponentennamen angezeigt. Eine Komponente kann eine beliebige Kombination dieser status aufweisen. Wenn kein Status angezeigt wird, ist die Komponente nicht veraltet, verworfen oder angreifbar.

      Überprüfen Sie die aktuelle Version und die neueste veröffentlichte Version. Im rechten Bereich können Sie einen Versionsverlauf anzeigen. Die aktuelle Version wird im Versionsverlauf hervorgehoben, und ihr Speicherort in der Liste bietet Ihnen möglicherweise Einblicke in die Gründe für eine Komponente Veraltet , Verworfen , Und Angreifbar . Beispielsweise verwenden Sie möglicherweise eine ältere Version einer Komponente.

    3. Wählen Sie aus Übersicht , Hashes , Stücklistenentitäten , Schwachstellen , Und Avis Zugehörige Registerkarten im Datensatz.
      • Übersicht: Eine Zusammenfassung der Komponentendetails.
      • Stücklistenentitäten: Eine Liste der Entitäten, die dieser Komponente zugeordnet sind.
      • Hashes: Wenn importiert, werden Hashes angezeigt.
      • Schwachstellen: Informationen zu bekannten Schwachstellen, die dieser Komponente zugeordnet sind. Wenn diese Liste leer ist, sind keine Schwachstellen bekannt.

        Wenn die Liste ausgefüllt ist, wählen Sie die Registerkarte aus, um Schwachstellen-IDs, Zusammenfassungen und andere Schwachstellen-Informationen für Common Vulnerabilities and Exposures (CVE) und Common Sschwäche Enumeration (CWE) anzuzeigen, die diesem Datensatz zugeordnet sind. CVEs werden nach Schweregrad aufgeschlüsselt, CWEs werden danach aufgeschlüsselt, wie wahrscheinlich die Komponente ausgenutzt werden kann. Sie können die erweiterten Schwachstellendatensätze in anzeigen Vulnerability Response Oder Application Vulnerability Response Anwendungen, indem Sie den Link Schwachstellen-ID auswählen.

      • Avis (AVITs): Angreifbare Anwendungselemente, die dieser Komponente zugeordnet sind, wenn Sie AVIT-Erstellungsregeln erstellt haben, die die Komponente mit einer bekannten Schwachstelle abgleichen. Die Anwendung Application Vulnerability Response (AVR) verknüpft eine Schwachstelle mit einer Anwendung, um einen AVI-Datensatz zu erstellen. Weitere Informationen finden Sie unter Erstellen von Regeln für angreifbare Anwendungselemente in Software Bill of Materials Arbeitsbereich.