Explorer Nomenclature logicielle

  • Rversion finale: Yokohama
  • Mis à jour 26 févr. 2025
  • 5 minutes de lecture

    • Identifiez les composants utilisés dans les applications de votre organisation à partir des Nomenclature logicielle fichiers queSBOM vous chargez dans votre instance. Comprenez tous les risques associés à l’utilisation de logiciels open source pour vous aider à déterminer votre exposition potentielle, à consulter la conformité des licences et à corriger les vulnérabilités.

    Vue d'ensemble de Nomenclature logicielle

    Les composants tiers et open source vous offrent de nombreux avantages pour la création et la mise en production rapides de vos projets logiciels. Cependant, dans certains cas, il existe des risques associés à l’utilisation de composants accessibles au public, tels que les suivants :

    • Manque de visibilité sur l’intégrité des composants
    • Vulnérabilités dans les logiciels open source
    • Package Intelligence pour les logiciels open source
    • Licences de logiciels non conformes

    Vous pouvez charger vos fichiers de nomenclature logicielle via une API ou manuellement. Affichez les fichiers que vous importez en tant qu’entités, qui sont des inventaires des bibliothèques de composants tiers utilisées dans votre logiciel, y compris les dépendances transitives et les informations de gestion des licences disponibles.

    Pour plus d’informations sur ce qui est inclus dans les inventaires de logiciels dans les nomenclatures logicielles CycloneDX et SPDX, voir CycloneDX - nomenclature logicielle (SBOM) et SPDX.

    Nomenclature logicielle utilisateurs

    Tableau 1. Utilisateurs
    Utilisateur Description
    Responsables et analystes des vulnérabilités Affichez les fichiers de nomenclature logicielle chargés dans les enregistrements, les visualisations de données, ainsi que des renseignements améliorés sur les vulnérabilités dans l’espace Nomenclature logicielle de travail (SBOM).

    Les responsables des vulnérabilités et les analystes utilisent ces informations pour déterminer la conformité de vos licences logicielles et l’exposition potentielle aux risques liés à l’utilisation de logiciels open source.
    Utilisateurs qui peuvent inclure, mais sans s’y limiter :
    • Avocats spécialisés dans la technologie ou les logiciels
    • Responsables IT
    • Auditeurs
    • Gestionnaires et équipes des actifs logiciels
    		 Affichez les licences de logiciels propriétaires et open source téléchargées pour les composants de vos fichiers téléchargés SBOM .

    Créez une base de données de licences logicielles propriétaires et open source pour les composants.

    Examinez et classez les licences avec des informations manquantes en fonction de vos politiques internes ou réglementaires.

    Faites correspondre vos composants aux licences, déterminez la conformité globale de votre licence et voyez votre exposition potentielle aux risques liés aux licences interdites, restreintes ou manquantes.

    Workflow Nomenclature logicielle

    Les applications SBOM vous permettent de charger des fichiers et d’afficher les détails des entités, les inventaires de composants, les vulnérabilités et les informations de licence de logiciel dans l’espace de travail Nomenclature logicielle (SBOM).

    • Chargez SBOM des fichiers avec une API ou manuellement.
    • Examinez les composants du SBOM fichier que vous avez chargé dans l’espace de SBOM travail.
    • Examinez les informations de licence de composant à partir des fichiers chargés SBOM et classez-les pour vous aider à identifier votre exposition aux licences restreintes ou interdites.
    • Évaluez votre exposition au risque et créez des éléments vulnérables pour les composants qui présentent des vulnérabilités associées.
    • Affichez les rapports et les tableaux de bord, ainsi que la conformité globale de votre licence pour les composants chargés SBOM sur la page d’accueil de l’espace SBOM de travail.

    Nomenclature logicielle avantages

    Trois applications de nomenclature logicielle vous permettent d’afficher un inventaire précis de vos composants logiciels et des risques associés :
    • Modèle de données pour SBOM
    • SBOM Core
    • SBOM Réponse

    Pour plus d’informations sur la compatibilité, consultez KB0856498 Changements de matrice de compatibilité et de schéma de mise en production de Vulnerability Response.

    Tableau 2. SBOM avantages
    Avantage Demande Versions prises en charge
    Cette application fournit les tables utilisées pour stocker SBOM les données. Cette application est requise. Elle comprend les tables, les ACL et les rôles requis pour lire SBOM les données. Modèle de données pour SBOM v4.0, v3.0, v2.0
    Cette application est requise. Elle comprend l’API requise pour charger SBOM des documents et la logique métier requise pour analyser et importer les données de ces documents dans votre instance. Vous pouvez afficher un inventaire de vos composants logiciels dans SBOM l’espace de travail, mais vous ne pouvez pas afficher les visualisations de données sur la page de destination.

    Téléchargez, analysez et traitez vos fichiers de nomenclature logicielle dans les normes CycloneDX et SPDX. Consultez la colonne Versions prises en charge pour connaître les formats de fichier et les versions pris en charge pour ces produits. Affichez les entités de nomenclature (BOM) et un inventaire de vos composants logiciels. Une entité BOM est le composant de niveau racine d’un fichier SBOM. Par exemple, pour un CycloneDX SBOM, le composant répertorié dans les métadonnées est considéré comme l’entité BOM.

    		 SBOM Core

    v6.0, v5.0, v4.0

    À partir de la version 4.0, SBOM Core prend en charge :

    • XML et JSON versions 1.0 à 1.6 de CycloneDX.
    • JSON versions 2.2 à 2.3 de SPDX.
    • SBOM Une réponse est requise si vous souhaitez accéder aux fonctionnalités et aux visualisations de données sur la page de destination dans l’espace de travail SBOM .
    • Nomenclature logicielle La réponse nécessite l’application Réponse aux vulnérabilités .
    • Affichez l’inventaire de vos composants et évaluez votre exposition au risque dans l’espace de SBOM travail. Configurez des règles pour créer automatiquement des éléments vulnérables de l’application (AVIT) et corrigez-les avec le Réponse aux vulnérabilités des applications workflow.
    • Affichez les informations de licence de composant téléchargées avec vos SBOM fichiers dans le module Administration de licences. Classez et résolvez (associez) les composants que vous chargez dans vos Réponse aux vulnérabilités des applications fichiers aux licences afin de voir l’état de conformité global de votre licence.
    • À partir de la version 4.0 de Réponse aux vulnérabilités des applications Response, vous pouvez afficher les composants identifiés comme périmés ou abandonnés comme « non conformes » dans l’interface Policy as Code Engine (PaCE) disponible dans l’espace de SBOM travail.

    • Les intégrations OSV.dev et Deps.dev sont incluses lorsque vous installez SBOM Response.

      • OSV.dev s’agit d’une API open source qui fournit des informations de veille sur les vulnérabilités pour une version donnée d’un package ou d’une bibliothèque.
      • Deps.dev est une API open source qui fournit une liste des versions pour un package ou une bibliothèque donnée et identifie les composants qui sont à l’état périmé et abandonné .

      Consultez Configuration des intégrations Deps.dev, OSV.dev et PaCE pour Nomenclature logicielle pour plus d'informations.

      Consultez la section Integrating PaCE with other applications pour plus d’informations sur PaCE et les politiques PaCE.

    		 SBOM Réponse v6.0, v5.0, v4.0
    Générez et chargez (Nomenclature logicielleSBOM) des fichiers pour les logiciels tout au long de leurs cycles de développement d’intégration et de déploiement continus. SBOM Réponse
    • Modèle de données pour SBOM: v1.4 et versions ultérieures.
    • SBOM Core : v3.0 et versions ultérieures.
    • SBOM Réponse : v4.0 et versions ultérieures.

    Ce qu'il faut explorer ensuite

    Pour en savoir plus sur la configuration et l'utilisation de Nomenclature logicielle, consultez :