必要なロール:sn_sbom_resp.sbom_analyst

1. 移動先 すべて > SBOM ワークスペース > コンポーネント.
2. 脆弱性情報は、可視化またはコンポーネントレコードのいずれかを使用して表示できます。

   メソッド	アクション
   脆弱性がある BOM エンティティの可視化	脆弱性がある BOM エンティティの可視化グラフを選択します。 脆弱性がコンポーネントに関連付けられている場合、合計数はリストの [CVE] 列と [CWE] 列にが表示されます。コンポーネントには複数の脆弱性が存在する可能性があります。利用可能な場合は、このリストの [修正可能性] 列でエントリを確認できます。 このコンポーネントに脆弱性が関連付けられていない場合、これらの列には 0 が表示されるか、コンポーネントの値が表示されません。 [CVE]、[CWE]、および [修正可能性 (Fixibilty)] 列が表示されない場合は、ページの右上にある歯車アイコン と [列を編集] を選択して、それらをページに追加できます。[利用可能] 列の一覧からそれらを選択し、[OK] を選択します。
   コンポーネントレコード	[可視化] の下にあるリストからレコードを選択します。 レコードの [脆弱性] タブを選択します。 データが表示されない場合、レポートされた脆弱性はレコードに関連付けられません。 データが表示された場合は、「ソフトウェア部品表ワークスペースの [コンポーネント] モジュールの確認」を参照し、脆弱性に対処するためのアプリケーション脆弱性対応の修復ワークフローの手順に従ってください。 詳細については、「アプリケーション脆弱性対応 の脆弱性を修復する」を参照してください。

脆弱性インテリジェンスによるリスク評価

コンポーネントレコードの SBOM Response を使用して、さらに拡張された脆弱性データを表示します。「サポートされているアプリケーション」で説明されている SBOM Response アプリケーション、脆弱性対応、脆弱性情報データベース (NVD) 統合および共通脆弱性タイプ一覧 (CWE) のスケジュール済みジョブをインストールしてアクティブ化する必要があります。

1. [すべてのコンポーネント] の画像を選択して、関連するレコードのリストを表示します。
2. [名前] 列のリンクを選択してレコードを開きます。

   [古い]、 [放棄]、[脆弱] などのステータスがコンポーネント名の下に表示されます。コンポーネントは、これらの状況を任意に組み合わせることができます。ステータスが表示されない場合、コンポーネントは古くなく、放棄されておらず、脆弱でもありません。

   現在のバージョンと最新の公開バージョンをレビューします。右側のパネルでは、バージョン履歴を表示できます。現在のバージョンはバージョン履歴で強調表示され、リスト内のその場所によって、コンポーネントが [古い]、[放棄]、[脆弱] である理由に関するインサイトが得られる場合があります。たとえば、古いバージョンのコンポーネントを使用している可能性があります。

3. レコードの [概要]、[ハッシュ]、[BOM エンティティ]、[脆弱性]、および [AVI] 関連タブを選択します。
   • 概要：コンポーネント詳細のサマリー。
   • BOM エンティティ：このコンポーネントに関連付けられているエンティティのリスト。
   • ハッシュ - インポートした場合、ハッシュが表示されます。
   • 脆弱性 - このコンポーネントに関連する既知の脆弱性に関する情報。このリストが空の場合、既知の脆弱性はありません。

     リストに入力されている場合は、タブを選択して、このレコードに関連付けられた共通脆弱性識別子 (CVE) および共通脆弱性タイプ一覧 (CWE) データの脆弱性 ID、サマリー、およびその他の脆弱性情報を表示します。CVE は重大度別にブレークダウンされ、CWE はコンポーネントが悪用される可能性によってブレークダウンされます。脆弱性 ID リンクを選択すると、脆弱性対応アプリケーションまたはアプリケーション脆弱性対応アプリケーションの拡張脆弱性レコードを表示できます。

   • AVI (AVIT) - コンポーネントを既知の脆弱性に照合する AVIT 作成ルールを作成した場合、このコンポーネントに関連付けられたアプリケーション脆弱性一致アイテム。アプリケーション脆弱性対応アプリケーション (AVR) は脆弱性をアプリケーションに関連付けて AVI レコードを作成します。詳細については、「ソフトウェア部品表ワークスペースでアプリケーション脆弱性一致アイテムのルールを作成する」を参照してください。