エンティティの脆弱性のチェックソフトウェア部品表

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • アップロード ソフトウェア部品表 された (SBOM) ファイル内のコンポーネントに脆弱性が関連付けられているかどうかを判断します。

    脆弱性と拡張脆弱性データを表示するには、次のアプリケーションをインストールしてアクティブ化する必要があります。
    • SBOM 応答
    • Vulnerability Response Integration with NVD および CWE ジョブ
    • Vulnerability Response
    詳細については、「ソフトウェア部品表 の詳細」を参照してください。
    必要なロール:
    • SBOM Core - sn_sbom_resp.sbom_analyst の v2.1 以降
    • SBOM Core の v2.1 より前 - sn_sbom_resp.admin
    1. 移動先 すべて > SBOM ワークスペース > コンポーネント.
    2. SBOM Response のバージョン 3.1 より前のバージョンでは、可視化またはコンポーネントレコードを使用して脆弱性情報を表示します。
      メソッド アクション
      脆弱性のある BOM エンティティの可視化 脆弱性のある BOM エンティティの可視化グラフを選択します。
      • このコンポーネントに脆弱性が関連付けられている場合、リストの [CVE] 列と [CWE] 列に合計が表示されます。コンポーネントには複数の脆弱性が存在する可能性があります。可能な場合は、このリストの [修正可能性] 列でエントリを確認できます。
      • このコンポーネントに脆弱性が関連付けられていない場合、これらの列にはコンポーネント の値がないか、 0 個またはまったく表示されません。

      [CVE]、[CWE]、および [Fixbilty] 列が表示されない場合は、ページの右上にある歯車 アイコン[列を編集] を選択して、それらをページに追加できます。[利用可能] 列の一覧からそれらを選択し、[ OK] を選択します。
      コンポーネントレコード
      1. 可視化の下にあるリストからレコードを選択します。
      2. レコードの [脆弱性] タブを選択します。
        1. データが表示されない場合、報告された脆弱性はレコードに関連付けられません。
        2. データが表示された場合は、脆弱性に対処するためのアプリケーション脆弱性対応修復ワークフローの手順を参照ワークスペースの ソフトウェア部品表 コンポーネントモジュールの確認し、それに従ってください。

          詳細については、「アプリケーション脆弱性対応 の脆弱性を修復する」を参照してください。

    脆弱性インテリジェンスによるリスク評価

    SBOM Response バージョン 3.1 以降では、コンポーネントレコードで SBOM Response を使用して、さらに拡張された脆弱性データを表示します。「サポートされているアプリケーション」で説明されている SBOM Response アプリケーション、Vulnerability Response、National Vulnerability Database (NVD) 統合、および共通脆弱性タイプ一覧 (CWE) のジョブスケジュールをインストールしてアクティブ化する必要があります。

    1. [すべてのコンポーネント] グラフを選択して、関連するレコードのリストを表示します。
    2. [名前] 列のリンクを選択してレコードを開きます。

      ステータス、 古い放棄された、および 脆弱 な状態がコンポーネント名の下に表示されます。コンポーネントは、これらのステータスを任意に組み合わせることができます。ステータスが表示されない場合、コンポーネントは古くも、放棄されたわけでも、脆弱でもありません。

      現在のバージョンと最新の公開バージョンをレビューします。右側のパネルでは、バージョン履歴を表示できます。現在のバージョンはバージョン履歴で強調表示され、リスト内のその場所によって、コンポーネントが 古く放棄され脆弱である理由に関する洞察が得られる場合があります。たとえば、古いバージョンのコンポーネントを使用している可能性があります。

    3. レコードの [概要]、[ ハッシュ]、[ BOM エンティティ (BOM Entities)]、[ 脆弱性]、および [AVI] 関連タブを選択します。
      • 概要:コンポーネントの詳細の概要。
      • BOM エンティティ:このコンポーネントに関連付けられているエンティティのリスト。
      • ハッシュ:インポートした場合、ハッシュが表示されます。
      • 脆弱性:このコンポーネントに関連する既知の脆弱性に関する情報。このリストが空の場合、既知の脆弱性はありません。

        リストが表示されている場合は、タブを選択して、このレコードに関連付けられた共通脆弱性識別子 (CVE) および共通脆弱性タイプ一覧 (CWE) データの脆弱性 ID、サマリー、およびその他の脆弱性情報を表示します。CVE は重大度別に分類され、CWE はコンポーネントが悪用される可能性によって分類されます。脆弱性 ID リンクを選択すると、アプリケーションのアプリケーション脆弱性対応拡張脆弱性レコード脆弱性対応を表示できます。

      • AVI (AVIT):コンポーネントを既知の脆弱性に照合する AVIT 作成ルールを作成した場合、このコンポーネントに関連付けられたアプリケーション脆弱性一致アイテム。Application Vulnerability Response アプリケーション (AVR) は、脆弱性をアプリケーションに関連付けて AVI レコードを作成します。詳細については、「ワークスペースでの ソフトウェア部品表 アプリケーション脆弱性一致アイテムのルールの作成」を参照してください。