Revisando o módulo Componentes no espaço Lista de materiais de software

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • O módulo Componentes no espaço Lista de materiais de software (SBOM) exibe informações atuais sobre combinações vulneráveis, obsoletas, abandonadas e de alto risco para os componentes importados.

    Exibição do módulo Componentes

    Funções necessárias:
    • Iniciando com v2.1 do SBOM Core - sn_sbom_resp.sbom_analyst
    • Antes da v2.1 do SBOM Core - sn_sbom_resp.admin

    Navegar até Espaços > Espaço de SBOM > Componentes.

    O que você pode ver no módulo depende dos aplicativos que você instalou.

    Aplicação instalada Descrição
    Se você instalou o SBOM Core A partir da v2.1, um inventário de todos os componentes carregados que inclui as seguintes informações:
    • Nome
    • Descrição
    • Versão
    • Contagem de entidades da lista de materiais
    Se você instalou o SBOM Response A partir da v3.1 do SBOM Response, selecione um gráfico ou um número no gráfico para exibir uma lista de registros associados.
    Todos os componentes
    A lista de componentes obsoletos e abandonados, bem como aqueles com pelo menos uma vulnerabilidade na contagem total de componentes. Essas contagens podem ajudar a identificar componentes que requerem sua atenção. Esses subconjuntos de componentes podem não corresponder à contagem total de componentes porque todos os seus componentes podem não se encaixar nessas categorias.
    • A versão de um componente obsoleto está mais de duas versões principais atrás da versão mais recente e dois anos atrás da versão mais recente.
    • Um componente abandonado não é atualizado há mais de dois anos.
    • Componentes vulneráveis são componentes que têm vulnerabilidades com uma severidade Alta ou maior.
    Combinações de alto risco

    Componentes de alto risco podem exigir sua atenção imediata. A integração Deps.dev, que é instalada quando você instala a aplicação de resposta SBOM, fornece a inteligência de pacotes para componentes nos estados Obsoleto e Abandonado. Se a integração do Snyk Vulnerability Insights estiver instalada, você poderá ver as informações de correção de uma vulnerabilidade em um componente. Observe que as correções podem não estar disponíveis para todos os componentes.

    As combinações importadas de alto risco são compostas por componentes obsoletos e abandonados com pelo menos uma vulnerabilidade grave (Crítica ou Alta) que você pode corrigir com atualizações, substituições ou outro tipo de reparo. O status Totalmente corrigível significa que um componente tem uma versão disponível que pode corrigi-lo. A porcentagem do número total de componentes de alto risco que têm versões corrigíveis é anotada.

    Componentes vulneráveis que podem ser corrigidas
    Totais e detalhamentos dos componentes com vulnerabilidades Críticas, Altas, Médiase Baixas e se algumas ou todas as suas vulnerabilidades podem ser corrigidas. Se um componente tiver mais de uma vulnerabilidade, a vulnerabilidade mais crítica terá precedência.

    O status de capacidade de correção:

    • Concluído - Há versões de correção para todas as vulnerabilidades associadas à versão atual do componente.
    • Parcial - há uma versão de correção para pelo menos uma, mas não todas as vulnerabilidades associadas à versão atual do componente.
    Componentes por licença
    Totais e detalhamentos de componentes por licenças.

    A Lista de Componentes nos gráficos permite que você veja o nome, a descrição, a versão e as contagens de entidade. No painel direito, você pode exibir um histórico de versões. A versão atual é realçada no histórico de versões. As colunas Vulnerabilidades e exposição comuns (CVE) e Capacidade de correção também são exibidas.

    Como avaliar o risco com a inteligência de vulnerabilidade

    Consulte Verificando uma entidade Lista de materiais de software para vulnerabilidades para obter mais informações sobre como revisar dados de inteligência de vulnerabilidade no espaço.