Explorer Nomenclature logicielle
Identifiez les composants utilisés dans les applications de votre organisation à partir des Nomenclature logicielle fichiers queSBOM vous chargez dans votre instance. Comprenez tous les risques associés à l’utilisation de logiciels open source pour vous aider à déterminer votre exposition potentielle, à consulter la conformité des licences et à corriger les vulnérabilités.
Vue d'ensemble de Nomenclature logicielle
Les composants tiers et open source vous offrent de nombreux avantages pour la création et la mise en production rapides de vos projets logiciels. Cependant, dans certains cas, il existe des risques associés à l’utilisation de composants accessibles au public, tels que les suivants :
- Manque de visibilité sur l’intégrité des composants
- Vulnérabilités dans les logiciels open source
- Package Intelligence pour les logiciels open source
- Licences de logiciels non conformes
Vous pouvez charger vos fichiers de nomenclature logicielle via une API ou manuellement. Affichez les fichiers que vous importez en tant qu’entités, qui sont des inventaires des bibliothèques de composants tiers utilisées dans votre logiciel, y compris les dépendances transitives et les informations de gestion des licences disponibles.
Pour plus d’informations sur ce qui est inclus dans les inventaires de logiciels dans les nomenclatures logicielles CycloneDX et SPDX, voir CycloneDX - nomenclature logicielle (SBOM) et SPDX.
Nomenclature logicielle utilisateurs
| Utilisateur | Description |
|---|---|
| Responsables et analystes des vulnérabilités | Affichez les fichiers de nomenclature logicielle chargés dans les enregistrements, les visualisations de données, ainsi que des renseignements améliorés sur les vulnérabilités dans l’espace Nomenclature logicielle de travail (SBOM). Les responsables des vulnérabilités et les analystes utilisent ces informations pour déterminer la conformité de vos licences logicielles et l’exposition potentielle aux risques liés à l’utilisation de logiciels open source. |
Utilisateurs qui peuvent inclure, mais sans s’y limiter :
|
Affichez les licences de logiciels propriétaires et open source téléchargées pour les composants de vos fichiers téléchargés SBOM . Créez une base de données de licences logicielles propriétaires et open source pour les composants. Examinez et classez les licences avec des informations manquantes en fonction de vos politiques internes ou réglementaires. Faites correspondre vos composants aux licences, déterminez la conformité globale de votre licence et voyez votre exposition potentielle aux risques liés aux licences interdites, restreintes ou manquantes. |
Workflow Nomenclature logicielle
Les applications SBOM vous permettent de charger des fichiers et d’afficher les détails des entités, les inventaires de composants, les vulnérabilités et les informations de licence de logiciel dans l’espace de travail Nomenclature logicielle (SBOM).
- Chargez SBOM des fichiers avec une API ou manuellement.
- Examinez les composants du SBOM fichier que vous avez chargé dans l’espace de SBOM travail.
- Examinez les informations de licence de composant à partir des fichiers chargés SBOM et classez-les pour vous aider à identifier votre exposition aux licences restreintes ou interdites.
- Évaluez votre exposition au risque et créez des éléments vulnérables pour les composants qui présentent des vulnérabilités associées.
- Affichez les rapports et les tableaux de bord, ainsi que la conformité globale de votre licence pour les composants chargés SBOM sur la page d’accueil de l’espace SBOM de travail.
Nomenclature logicielle avantages
- Modèle de données pour SBOM
- SBOM Core
- SBOM Réponse
Pour plus d’informations sur la compatibilité, consultez KB0856498 Changements de matrice de compatibilité et de schéma de mise en production de Vulnerability Response.
| Avantage | Application | Versions prises en charge |
|---|---|---|
| Cette application fournit les tables utilisées pour stocker SBOM les données. Cette application est requise. Elle comprend les tables, les ACL et les rôles requis pour lire SBOM les données. | Modèle de données pour SBOM | v4.0, v3.0, v2.0 |
| Cette application est requise. Elle comprend l’API requise pour charger SBOM des documents et la logique métier requise pour analyser et importer les données de ces documents dans votre instance. Vous pouvez afficher un inventaire de vos composants logiciels dans SBOM l’espace de travail, mais vous ne pouvez pas afficher les visualisations de données sur la page de destination. Téléchargez, analysez et traitez vos fichiers de nomenclature logicielle dans les normes CycloneDX et SPDX. Consultez la colonne Versions prises en charge pour connaître les formats de fichier et les versions pris en charge pour ces produits. Affichez les entités de nomenclature (BOM) et un inventaire de vos composants logiciels. Une entité BOM est le composant de niveau racine d’un fichier SBOM. Par exemple, pour un CycloneDX SBOM, le composant répertorié dans les métadonnées est considéré comme l’entité BOM. |
SBOM Core |
v6.0, v5.0, v4.0 À partir de la version 4.0, SBOM Core prend en charge :
|
|
SBOM Réponse | v6.0, v5.0, v4.0 |
| Générez et chargez (Nomenclature logicielleSBOM) des fichiers pour les logiciels tout au long de leurs cycles de développement d’intégration et de déploiement continus. | SBOM Réponse |
|
Réponse aux vulnérabilités applications et CSDM tables
Réponse aux vulnérabilités des applications Les Réponse aux vulnérabilités intégrations et Nomenclature logicielle applications de vulnérabilité tierces gèrent les tables (y contribuent des données). CSDM Ces applications utilisent également des données provenant de CSDM tables générées par d’autres applications. Plusieurs ServiceNow produits bénéficient donc de ces Opérations de sécurité applications et y ajoutent de la valeur. Consultez Réponse aux vulnérabilités applications et CSDM tables pour plus d'informations.