Vérification des vulnérabilités d’une Nomenclature logicielle entité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Déterminez si des vulnérabilités sont associées aux composants dans un fichier chargé Nomenclature logicielle (SBOM).

    Les applications suivantes doivent être installées et activées avant de pouvoir visualiser les vulnérabilités et les données de vulnérabilité améliorées :
    • SBOM Réponse
    • Vulnerability Response Integration avec les tâches NVD et CWE
    • Réponse aux vulnérabilités
    Consultez Explorer Nomenclature logicielle pour plus d'informations.

    Rôle requis : sn_sbom_resp.sbom_analyst

    1. Accédez à la Tout > Espace de travail SBOM > Composants.
    2. Vous pouvez afficher les informations de vulnérabilité via une visualisation ou un enregistrement de composant.
      Méthode Actions
      Entités BOM avec visualisation des vulnérabilités Sélectionnez le graphique de visualisation Entités BOM avec vulnérabilités .
      • Si des vulnérabilités sont associées à ce composant, les totaux sont affichés dans les colonnes CVE et CWE de la liste. Un composant peut avoir plusieurs vulnérabilités. Si disponible, vous pouvez consulter la colonne Réparabilité de cette liste pour les entrées.
      • Si aucune vulnérabilité n’est associée à ce composant, ces colonnes affichent 0 ou aucune valeur pour le composant.

      Si les colonnes CVE, CWE et Fixibilty ne sont pas affichées, vous pouvez les ajouter à la page en sélectionnant l’icône Engrenage en haut à droite de la page et Modifier les colonnes. Sélectionnez-les dans la liste des colonnes Disponibles, puis sélectionnez OK.
      Enregistrement du composant
      1. Sélectionnez un enregistrement dans la liste sous les visualisations.
      2. Sélectionnez l’onglet Vulnérabilités de l’enregistrement.
        1. Si aucune donnée n’est affichée, aucune vulnérabilité signalée n’est associée à l’enregistrement.
        2. Si des données sont affichées, consultez Examen du module Composants dans l’espace de Nomenclature logicielle travail et suivez les étapes du workflow Réponse aux vulnérabilités des applications de rattrapage pour remédier à la vulnérabilité.

          Pour plus d'informations, consultez Rattrapage des Réponse aux vulnérabilités des applications vulnérabilités.

    Évaluer votre risque avec la connaissance des vulnérabilités

    Affichez des données de vulnérabilité améliorées plus nombreuses avec SBOM Réponse sur les enregistrements de composants. Les SBOM travaux planifiés de l’application Réponse, Réponse aux vulnérabilités, Intégration de la base de données de vulnérabilité nationale (NVD) et Énumération des faiblesses communes (CWE) décrits dans Applications prises en charge doivent être installés et activés.

    1. Sélectionnez la visualisation Tous les composants pour afficher la liste des enregistrements associés.
    2. Sélectionnez un lien dans la colonne Nom pour ouvrir un enregistrement.

      Les états Périmé, Abandonné et Vulnérable sont affichés sous le nom du composant. Un composant peut avoir n’importe quelle combinaison de ces états. Si aucun état n’est affiché, le composant n’est ni périmé, ni abandonné, ni vulnérable.

      Passez en revue la version actuelle et la dernière version publiée. Dans le panneau de droite, vous pouvez afficher un historique de version. La version actuelle est mise en surbrillance dans l’historique des versions et son emplacement dans la liste peut vous donner un aperçu des raisons pour lesquelles un composant est périmé, abandonné et vulnérable. Par exemple, vous pouvez utiliser une ancienne version d’un composant.

    3. Sélectionnez les onglets connexes Vue d’ensemble, Hachages, Entités BOM, Vulnérabilités et AVI de l’enregistrement.
      • Vue d’ensemble : un résumé des détails du composant.
      • Entités BOM : liste des entités associées à ce composant.
      • Hachages : s’ils sont importés, les hachages sont affichés.
      • Vulnérabilités : informations sur les vulnérabilités connues associées à ce composant. Si cette liste est vide, il n’y a aucune vulnérabilité connue.

        Si la liste est remplie, sélectionnez l’onglet pour afficher les ID de vulnérabilité, les résumés et d’autres informations sur les vulnérabilités pour les données CVE (Common Vulnerabilities and Exposures) et Common Weakness Enumeration (CWE) associées à cet enregistrement. Les CVE sont ventilées par gravité, les CWE sont ventilées par la probabilité d’exploitation du composant. Vous pouvez afficher les enregistrements de vulnérabilité améliorés dans les Réponse aux vulnérabilités applications ou Réponse aux vulnérabilités des applications en sélectionnant le lien ID de vulnérabilité.

      • AVI (AVIT) : éléments vulnérables de l’application associés à ce composant si vous avez créé des règles de création AVIT qui font correspondre le composant à une vulnérabilité connue. L’application Application Vulnerability Response (AVR) associe une vulnérabilité à une application pour créer un enregistrement AVI. Pour plus d'informations, consultez Création de règles pour les éléments vulnérables de l’application dans l’espace de Nomenclature logicielle travail.