ソフトウェア部品表 でサポートされているアプリケーションの探索
サードパーティの脆弱性インテリジェンスなどを ソフトウェア部品表 アプリケーションと統合することで、アップロードされたファイルのデータを拡張することができます。
サポートされているアプリケーションのメリット
サードパーティの脆弱性インテリジェンスなどを ソフトウェア部品表 アプリケーションと統合することで、古いと見なされたコンポーネントや破棄されたコンポーネントの数、またコンポーネント関連の脆弱性の修正可否に関する情報を表示できます。
次のテーブルにリストされている ServiceNow® アプリケーションとサードパーティの統合は、SBOM アプリケーションでサポートされています。これらのアプリケーションでは、強化された脆弱性データや脆弱性インテリジェンスなどの重要な情報が提供されるため、SBOM ファイルに関連する脆弱性を表示して優先順位を付けることができるようになります。これらのアプリケーションと統合はすべて、ServiceNow® Store から入手できます。
| メリット | アプリケーション | サポートされているバージョン | ユーザー |
|---|---|---|---|
|
SBOM Response アプリケーションをインストールする場合は 脆弱性対応 が必須です。脆弱性対応 アプリケーションをインストールしてから SBOM Response をインストールします。 アプリケーション脆弱性対応 機能は 脆弱性対応 と併せてインストールされます。これらの機能を使用すると、脆弱性対応 アプリケーションの脆弱性マネージャーワークスペースと脆弱性ワークフローにアクセスして、アプリケーション脆弱性一致アイテム (AVIT) を修復することができます。 |
脆弱性対応 |
互換性情報については、「KB0856498 脆弱性対応互換性マトリクスおよびリリーススキーマの変更」を参照してください。 |
|
| 拡張された NVD 脆弱性と重大度のデータを表示します。NVD 統合と CWE 統合からインポートされたデータを表示して、SBOM データで検出される脆弱性データを強化することができます。 詳細については、「NVD と CWE の統合によるデータのインポートとサードパーティライブラリの管理」を参照してください。 |
Vulnerability Response Integration with NVD と SBOM Response |
互換性情報については、「KB0856498 脆弱性対応互換性マトリクスおよびリリーススキーマの変更」を参照してください。 |
|
Veracode 脆弱性統合 を使用してソフトウェア部品表ファイルをインポートします。Veracode 脆弱性統合 では、Veracode SBOM ファイルで以下の機能拡張が行われています。
詳細については、「Veracode 脆弱性統合」を参照してください。 |
Veracode Vulnerability Integration と SBOM Response |
Veracode 脆弱性統合 v4.3 以降。 SBOM Core v3.0 以降、Veracode 脆弱性統合 を既にインストールしている場合、インポートされた Veracode SBOM データを CycloneDX (JSON や XML) および SPDX (XML) 形式でアップロードすることもできます。 互換性情報については、「KB0856498 脆弱性対応互換性マトリクスおよびリリーススキーマの変更」を参照してください。 |
|
|
SBOMファイルを GitHub リポジトリから ServiceNow AI Platform にアップロードします。CI/CD (継続的統合および継続的デリバリ/展開) パイプラインで生成された SBOM ファイルが、ServiceNow AI Platform インスタンスで正常にキューに入れられているかどうかを確認します。 GitHub 環境から開始する GitHub アクションを使用して、ソフトウェア開発サイクル中に潜在的に有害なコンポーネントから環境を保護します。 |
GitHub マーケットプレイスでの SBOM のアップロードに必要な GitHub アクションを取得します。 | SBOM Core v4.0 以降。 |