Software Bill of Materials erkunden
Identifizieren Sie die Komponenten, die in den Anwendungen Ihrer Organisation verwendet werden, aus Software Bill of Materials( SBOM) Dateien, die Sie in Ihre Instanz hochladen. Machen Sie sich mit allen Risiken im Zusammenhang mit der Verwendung von Open Source-Software vertraut, um Ihr potenzielles Risiko zu ermitteln, die Lizenz-Compliance anzuzeigen und Schwachstellen zu beheben.
Software Bill of Materials – Übersicht
Drittanbieter- und Open Source-Komponenten bieten Ihnen viele Vorteile für die schnelle Erstellung und Veröffentlichung Ihrer Softwareprojekte. In einigen Fällen bestehen jedoch Risiken im Zusammenhang mit der Verwendung öffentlich zugänglicher Komponenten, z. B.:
- Fehlende Transparenz in der Komponentenintegrität
- Schwachstellen in der Open Source-Software
- Package Intelligence für Open Source-Software
- Nicht konforme Softwarelizenzen
Sie können Ihre Software-Stücklistendateien über eine API oder manuell hochladen. Zeigen Sie die Dateien an, die Sie als Entitäten importieren, d. h. Bestände der in Ihrer Software verwendeten Komponentenbibliotheken von Drittanbietern, einschließlich aller transitiven Abhängigkeiten und verfügbaren Lizenzierungsinformationen.
Weitere Informationen darüber, was in den Softwarebeständen in CycloneDX- und SPDX-SBOMs enthalten ist, finden Sie unter CycloneDX – Software Bill of Materials (SBOM) Und SPDX .
Software Bill of Materials – Anwender
| Anwender | Beschreibung |
|---|---|
| Schwachstellenmanager und Analysten | Zeigen Sie hochgeladene Software-Stücklistendateien in Datensätzen, Datenvisualisierungen sowie erweiterte Schwachstellen-Intelligence in an Software Bill of Materials( SBOM) Arbeitsbereich. Schwachstellenmanager und Analysten verwenden diese Informationen, um die Compliance Ihrer Softwarelizenzen und das potenzielle Risiko bei der Verwendung von Open Source-Software zu bestimmen. |
Anwender, die Folgendes umfassen können, aber nicht beschränkt sind:
|
Zeigen Sie hochgeladene proprietäre und Open Source-Softwarelizenzen für Komponenten von hochgeladenen an SBOM Dateien. Erstellen Sie eine Datenbank mit proprietären und Open Source-Softwarelizenzen für die Komponenten. Überprüfen und klassifizieren Sie Lizenzen mit fehlenden Informationen gemäß Ihren internen oder regulatorischen Richtlinien. Ordnen Sie Ihre Komponenten Lizenzen zu, bestimmen Sie Ihre allgemeine Lizenz-Compliance, und sehen Sie sich Ihr potenzielles Risiko durch gesperrte, eingeschränkte oder fehlende Lizenzen an. |
Software Bill of Materials – Workflow
Mit den SBOM-Anwendungen können Sie Dateien hochladen und Details für Entitäten, Komponentenbestände, Schwachstellen und Softwarelizenzinformationen im Arbeitsbereich „Software Bill of Materials“ (SBOM) anzeigen.
- Hochladen SBOM Dateien mit einer API oder manuell.
- Überprüfen Sie die Komponenten in SBOM Datei, die Sie in hochgeladen haben SBOM Arbeitsbereich.
- Überprüfen Sie die Komponentenlizenzinformationen aus dem hochgeladenen SBOM Dateien und klassifizieren Sie sie, damit Sie Ihr Risiko durch eingeschränkte oder gesperrte Lizenzen identifizieren können.
- Bewerten Sie Ihr Risikorisiko, und erstellen Sie angreifbare Elemente für Komponenten mit zugehörigen Schwachstellen.
- Zeigen Sie Berichte und Dashboards sowie Ihre allgemeine Lizenz-Compliance für hochgeladen an SBOM Komponenten auf der Homepage in SBOM Arbeitsbereich.
Software Bill of Materials – Vorteile
- Datenmodell für SBOM
- SBOM Zentral
- SBOM Antwort
Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response-Kompatibilitätsmatrix und Änderungen am Release-Schema .
| Leistung | Anwendung | Unterstützte Versionen |
|---|---|---|
| Diese Anwendung stellt die zum Speichern verwendeten Tabellen bereit SBOM Daten. Diese Anwendung ist erforderlich. Sie enthält die Tabellen, ACLs und Rollen, die gelesen werden müssen SBOM Daten. | Datenmodell für SBOM | V4.0, v3.0, v2.0 |
| Diese Anwendung ist erforderlich. Sie enthält die zum Hochladen erforderliche API SBOM Dokumente und die Geschäftslogik, die zum Analysieren und Importieren der Daten aus diesen Dokumenten in Ihre Instanz erforderlich ist. Sie können einen Bestand Ihrer Softwarekomponenten in anzeigen SBOM Arbeitsbereich, aber Sie können die Datenvisualisierungen auf der Zielseite nicht anzeigen . Laden Sie Ihre Software-Stücklistendateien in CycloneDX- und SPDX-Standards hoch, analysieren und verarbeiten Sie sie. Die unterstützten Dateiformate und Versionen für diese Produkte finden Sie in der Spalte unterstützte Versionen. Zeigen Sie Stücklistenentitäten und einen Bestand Ihrer Softwarekomponenten an. Eine Stücklistenentität ist die Komponente auf Stammebene in einer SBOM-Datei. Zum Beispiel für einen CycloneDX SBOM, Die in den Metadaten aufgeführte Komponente wird als Stücklistenentität betrachtet. |
SBOM Zentral |
V6.0, v5.0, v4.0 Ab Version 4,0 SBOM Core-Unterstützung:
|
|
SBOM Antwort | V6.0, v5.0, v4.0 |
| Generieren und hochladen Software Bill of Materials( SBOM) Dateien für Software während ihrer kontinuierlichen Integrations- und Bereitstellungsentwicklungszyklen. | SBOM Antwort |
|
Vulnerability Response Anwendungen Und CSDM Tabellen
Die Vulnerability Response, Application Vulnerability Response, Integrationen von Schwachstellen von Drittparteien und Software Bill of Materials Anwendungen verwalten (Daten mittragen zu) CSDM Tabellen. Diese Anwendungen verwenden auch Daten aus CSDM Tabellen, die andere Anwendungen generieren. Mehrere ServiceNow Produkte profitieren daher von diesen und fügen ihnen einen Mehrwert hinzu Security Operations Anwendungen. Weitere Informationen finden Sie unter Vulnerability Response Anwendungen Und CSDM Tabellen.