Software Bill of Materials erkunden

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Identifizieren Sie die in den Anwendungen Ihrer Organisation verwendeten Komponenten aus Software Bill of Materials (SBOM) Dateien, die Sie in Ihre Instanz hochladen. Machen Sie sich mit allen Risiken vertraut, die mit der Verwendung von Open Source-Software verbunden sind, damit Sie Ihr potenzielles Risiko ermitteln und Schwachstellen beheben können.

    Verfügbare Versionen Software Bill of Materials .

    Release-Version Versionsinformationen
    Datenmodell für SBOM

    v1.3, v1.1, v1.0

    Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response Compatibility Matrix and Release Schema Changes

    Application Vulnerability Response release notes
    SBOM Zentral

    v2.1, v2.0, v1.0
    SBOM Antwort

    v3.1, v3.0, v2.0

    SBOM – Anwendungsfall

    Drittanbieter- und Open Source-Komponenten bieten Ihnen viele Vorteile für die schnelle Erstellung und Veröffentlichung Ihrer Softwareprojekte. In einigen Fällen sind jedoch mit der Verwendung öffentlich zugänglicher Komponenten Risiken verbunden, z. B.:

    • Mangelnde Transparenz der Komponentenintegrität
    • Schwachstellen in der Software
    • Lizenzierungs-Compliance
    Mit drei Software Bill of Materials Anwendungen können Sie einen genauen Bestand Ihrer Softwarekomponenten anzeigen:
    • Datenmodell für SBOM
    • SBOM Zentral
    • SBOM Antwort

    Sie können Ihre Software-Stücklistendateien über eine API oder manuell hochladen. Zeigen Sie die Dateien an, die Sie als Entitäten importieren, bei denen es sich um Bestände der in Ihrer Software verwendeten Komponentenbibliotheken von Drittanbietern handelt, einschließlich aller Transitabhängigkeiten. Weitere Informationen dazu, was in den Softwarebeständen in SBOMs für ZykloneDX enthalten ist, finden Sie unter ZykloneDX - Software Bill of Material (SBOM).

    Datenmodell für SBOM

    Diese Anwendung stellt die Tabellen bereit, die zum Speichern von SBOM-Daten verwendet werden.

    SBOM Zentral

    Laden Sie Ihre Software-Stücklistendateien im Format „CycloneDXJSON“ in Ihre Now Platform® -Instanz hoch, analysieren Sie sie und verarbeiten Sie sie. Zeigen Sie Stücklistenentitäten (BOM) und einen Bestand Ihrer Softwarekomponenten an. Eine Stücklistenentität ist die Komponente auf Stammebene in einer SBOM-Datei. Beispiel: Für eine SBOM vom Typ „CycloneDX“ wird die in den Metadaten aufgeführte Komponente als Stücklistenentität betrachtet.

    SBOM Antwort

    Zeigen Sie Ihren Komponentenbestand an, und bewerten Sie Ihr Risiko im SBOM-Arbeitsbereich. Sie können feststellen, ob bekannte Schwachstellen Softwarekomponenten zugeordnet sind, und Lizenzierungs- und Versionsinformationen sowie andere Details anzeigen.

    In der folgenden Tabelle finden Sie weitere Informationen zu jeder ServiceNow® SBOM-Anwendung.

    Tabelle : 1. Erforderliche Anwendungen für SBOM
    Anwendung ServiceNow Beschreibung
    Datenmodell für SBOM Diese Anwendung ist erforderlich. Sie enthält die Tabellen, ACLs und Rollen, die zum Lesen von SBOM Daten erforderlich sind.
    SBOM Kern Diese Anwendung ist erforderlich. Sie enthält die API, die zum Hochladen von SBOM Dokumenten erforderlich ist, und die Geschäftslogik, die zum Analysieren und Importieren der Daten aus diesen Dokumenten in Ihre Instanz erforderlich ist. Ab v2.1 können Sie einen Bestand Ihrer Softwarekomponenten im SBOM-Arbeitsbereich anzeigen.
    SBOM Antwort

    Die Anwendung Vulnerability Response ist erforderlich, wenn Sie die Anwendung SBOM Response installieren. Installieren Sie Vulnerability Response, bevor Sie SBOM Response installieren.

    Zeigen Sie Ihren Komponentenbestand an, und bewerten Sie Ihr Risiko im SBOM-Arbeitsbereich. Richten Sie Regeln ein, um automatisch angreifbare Elemente in Anwendungen (AVITs) zu erstellen und mit dem Application Vulnerability Response-Workflow zu beheben.

    Die Integrationen OSV.dev und Deps.dev sind in der Installation von SBOM Response enthalten.

    • OSV.dev ist eine Open Source-API, die Vulnerability Intelligence-Informationen für eine bestimmte Version eines Pakets oder einer Bibliothek bereitstellt.
    • Deps.dev ist eine Open Source-API, die eine Versionsliste für ein bestimmtes Paket oder eine bestimmte Bibliothek bereitstellt.

    Durch die Installation unterstützter Vulnerability Intelligence- und anderer Integrationen von Drittparteien können Sie die Anzahl der Komponenten anzeigen, die als veraltet und verworfen gelten, sowie Informationen dazu, ob Sie mit den Komponenten verbundene Schwachstellen beheben können. Die in der folgenden Tabelle aufgeführten Anwendungen ServiceNow® und Drittanbieterintegrationen werden von der Anwendung SBOM unterstützt. Diese Anwendungen stellen Ihnen erweiterte Schwachstellendaten, Schwachstelleninformationen und andere wichtige Informationen bereit, die Ihnen helfen können, die mit SBOM -Dateien verknüpften Schwachstellen anzuzeigen und zu priorisieren. Alle diese Anwendungen und Integrationen sind über den ServiceNow Storeverfügbar.
    Tabelle : 2. Andere unterstützte Anwendungen für SBOM
    Anwendung Beschreibung
    Vulnerability Response Erforderlich, wenn Sie die Anwendung SBOM Response installieren. Die Funktionen von Application Vulnerability Response werden mit Vulnerability Response installiert. Diese Funktionen ermöglichen den Zugriff auf den Vulnerability Manager-Arbeitsbereich in der Anwendung Vulnerability Response und den Schwachstellen-Workflow, um Sie bei der Korrektur von angreifbaren Elementen in Anwendungen (AVITs) zu unterstützen. Bietet Zugriff auf die National Vulnerability Database (NVD), Common Weakness Enumeration (CWE) und Anwendungsschwachdaten von Drittparteien.
    Die Integration von Vulnerability Response mit geplanten NVD- und CWE-Aufgaben Zeigen Sie erweiterte NVD-Schwachstellen- und Schweregraddaten an. Wenn Sie SBOM Response installiert haben, können Sie importierte Daten aus den NVD- und CWE-Integrationen anzeigen, um alle Schwachstellendaten zu ergänzen, die Sie in Ihren SBOM -Daten finden könnten.

    Weitere Informationen finden Sie unter Importieren von Daten mit den NVD- und CWE-Integrationen und Verwalten von Bibliotheken von Drittanbietern.
    Veracode Vulnerability Integration Importieren Sie Software-Stücklistendateien mit Veracode Vulnerability Integration. Wenn Sie diese Integration bereits installiert haben, können Sie auch importierte Veracode-Daten SBOM im JSON-Format „CycloneDX“ hochladen.