소프트웨어 자재 명세서 탐색
인스턴스에 업로드하는 (SBOM) 파일에서 조직의 애플리케이션에 소프트웨어 자재 명세서 사용되는 구성요소를 식별합니다. 오픈 소스 소프트웨어 사용과 관련된 모든 위험을 이해하면 잠재적인 노출을 확인하고 취약성을 수정하는 데 도움이 됩니다.
사용 가능한 소프트웨어 자재 명세서 버전
| 릴리스 버전 | 릴리스 정보 |
|---|---|
| 에 대한 데이터 모델 SBOM v 2.0, v1.4, v1.3, v1.1, v1.0 |
호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경 사항을 참조하십시오. Application Vulnerability Response release notes |
| SBOM Core v4.0, v3.0, v2.1, v2.0, v1.0 |
|
| SBOM 응답 v4.0, v3.2, v3.1, v3.0, v2.0 |
SBOM 사용 사례
| 릴리스 버전 | 애플리케이션 |
|---|---|
| v1.4 이상 | 에 대한 데이터 모델 SBOM |
| v3.0 이상 | SBOM Core |
| v4.0 이상 | SBOM 응답 |
타사 및 오픈 소스 구성 요소는 소프트웨어 프로젝트를 빠르게 만들고 릴리스할 수 있는 많은 이점을 제공합니다. 그러나 경우에 따라 다음과 같이 공개적으로 액세스할 수 있는 구성 요소를 사용하는 것과 관련된 위험이 있습니다.
- 구성요소 무결성에 대한 가시성 부족
- 오픈 소스 소프트웨어의 취약성
- 오픈 소스 소프트웨어용 패키지 인텔리전스
- 에 대한 데이터 모델 SBOM
- SBOM Core
- SBOM 응답
소프트웨어 BOM 파일은 API를 통해 업로드하거나 수동으로 업로드할 수 있습니다. 엔터티로 임포트하는 파일을 봅니다. 이는 소프트웨어에 사용되는 외부 공급업체 구성요소 라이브러리의 인벤토리입니다(전이 종속성 포함).
CycloneDX 및 SPDX SBOM의 소프트웨어 인벤토리에 포함된 항목에 대한 자세한 내용은 CycloneDX - SBOM(소프트웨어 자재 명세서) 및 SPDX를 참조하세요.
에 대한 데이터 모델 SBOM
이 애플리케이션은 SBOM 데이터를 저장하는 데 사용되는 테이블을 제공합니다.
SBOM Core
Core v3.0 SBOM 부터 CycloneDX 및 SPDX 표준으로 소프트웨어 BOM 파일을 업로드, 구문 분석 및 처리합니다. 이러한 제품에 대해 지원되는 파일 형식 및 버전에 대해서는 다음 표를 참조하십시오. BOM(자재 명세서) 엔터티와 소프트웨어 구성요소 인벤토리를 봅니다. BOM 엔터티는 파일의 루트 수준 구성요소입니다 SBOM . 예를 들어 CycloneDX SBOM의 경우 메타데이터에 나열된 구성 요소는 BOM 엔터티로 간주됩니다.
| SBOM 코어 버전 | 지원되는 CycloneDx 및 SPDX 버전 |
|---|---|
| v4.0 버전 |
CycloneDx의 XML 및 JSON(버전 1.0 - 1.6) SPDX의 JSON(버전 2.2-2.3) |
| v3.0 버전 | CycloneDX의 XML 및 JSON(버전 1.4까지) SPDX의 XML(v2.3 포함) |
CycloneDX 형식을 지원하기 위한 향상된 기능에 대한 자세한 내용은 REST REST API를 소프트웨어 자재 명세서 사용하여 파일 업로드 API 사용 섹션을 참조하십시오.
Core 버전 4.0 SBOM 부터 리포지토리에서 파일을 Now Platform® 업로드 SBOM 할 수 있습니다GitHub.
CI/CD(지속적 통합 및 지속적 전달/배포) 파이프라인에서 생성된 파일이 인스턴스 Now Platform® 에서 성공적으로 큐에 대기되었는지 확인합니다SBOM.
- 사용자 환경에서 시작하는 GitHub 작업을 사용하여 GitHub 소프트웨어 개발 주기 동안 잠재적으로 유해한 구성 요소로부터 환경을 보호합니다.
- GitHub Marketplace에서 업로드하는 SBOM 데 필요한 GitHub 작업을 가져옵니다.
SBOM 응답
SBOM 작업 공간에서 구성 요소 인벤토리를 보고 위험 노출을 평가합니다. 알려진 취약성이 소프트웨어 구성요소와 연결되어 있는지 확인하고 다른 상세 정보와 함께 라이선싱 및 버전 정보를 볼 수 있습니다.
각 ServiceNow® SBOM 애플리케이션에 대한 자세한 내용은 다음 표를 참조하십시오.
| ServiceNow 애플리케이션 | 설명 |
|---|---|
| 에 대한 데이터 모델 SBOM | 이 응용 프로그램은 필수입니다. 여기에는 데이터를 읽는 SBOM 데 필요한 테이블, ACL 및 역할이 포함됩니다. |
| SBOM 심 | 이 응용 프로그램은 필수입니다. 여기에는 문서를 업로드 SBOM 하는 데 필요한 API와 해당 문서의 데이터를 구문 분석하고 인스턴스로 임포트하는 데 필요한 비즈니스 논리가 포함됩니다. v2.1부터 SBOM 작업 공간에서 소프트웨어 구성 요소의 인벤토리를 볼 수 있습니다. |
| SBOM 응답 |
응답 버전 4.0 SBOM 부터는 작업 공간에서 사용할 수 있는 Policy as Code Engine(PaCE) 인터페이스에서 부실 또는 '미준수'로 식별된 구성요소를SBOM 볼 수 있습니다.
SBOM 응답에 취약성 대응 애플리케이션이 필요합니다. Response를 취약성 대응 설치 SBOM 하기 전에 응용 프로그램을 설치하십시오. 작업 공간에서 구성요소 인벤토리를 보고 위험 노출을 SBOM 평가합니다. AVIT(애플리케이션 취약한 항목)를 자동으로 생성하고 애플리케이션 취약성 대응 워크플로우를 통해 정정하는 규칙을 설정합니다. OSV.dev 및 Deps.dev 통합은 응답을 설치할 SBOM 때 포함됩니다.
|
| 애플리케이션 | 설명 |
|---|---|
| 취약성 대응 | 응답 애플리케이션을 설치하는 경우 필수입니다 SBOM . 애플리케이션 취약성 대응 기능은 와 함께 취약성 대응설치됩니다. 이러한 기능을 사용하면 애플리케이션의 취약성 대응 취약성 관리자 작업 공간과 취약성 워크플로우에 액세스하여 AVIT(애플리케이션 취약한 항목)를 정정할 수 있습니다. |
| NVD와 취약성 대응 통합 | 향상된 NVD 취약성 및 심각도 데이터를 봅니다. Response를 설치한 SBOM 경우 NVD 및 CWE 통합에서 임포트한 데이터를 보고 데이터에서 찾을 수 있는 취약성 데이터를 보강할 SBOM 수 있습니다. 자세한 내용은 NVD 및 CWE 통합을 사용하여 데이터 임포트 및 외부 공급업체 라이브러리 관리 문서를 참조하십시오. |
| Veracode Vulnerability Integration | 버전 4.3 Veracode Vulnerability Integration 에는 파일과 함께 Veracode SBOM 다음과 같은 향상된 기능이 포함되어 있습니다.
를 사용하여 소프트웨어 BOM 파일을 임포트합니다 Veracode Vulnerability Integration. 이 통합이 이미 설치되어 있는 경우 SBOM Core 버전 v3.0부터 CycloneDX(JSON 및 XML) 및 SPDX(XML) 형식으로 가져온 Veracode SBOM 데이터를 업로드할 수도 있습니다. |