登録元SBOMファイルの確認#
SBOM をインポートすると、その内容は OS パッケージや依存ライブラリとして FutureVuls に登録されます。 このページでは、登録されたソフトウェアや脆弱性(タスク)が どの SBOM ファイルから登録されたものか を確認・特定する方法を説明します。
確認の主な手がかりは次の2つです。
- UUID: SBOM から登録されたアプリケーション名の末尾には、登録元の SBOM ファイルを示す UUID が付与されます。同じ UUID を持つものは同じ SBOM ファイルから登録されたものです。
location列: ソフトウェア一覧のlocation列には、ライブラリを含むアプリケーション・Lockfile・GitHub リポジトリ・AWS Lambda 関数などが表示されます。
以下では、画像の SBOM サーバを例として説明します。
アプリケーションとSBOMファイルの関連付け#
SBOM から登録されたアプリケーションの詳細を見ると、登録元の SBOM ファイルの情報が表示されます。
上のアプリケーション webapp/ruby/Gemfile.lock は isucon6 という SBOM ファイルから登録されたものとわかります。
アプリケーション名の後ろに追記された UUID は、FutureVuls 内部での SBOM ファイルを特定するための識別子です。 同じ UUID を持つアプリケーションは同じ SBOM ファイルから登録されたものです。
上の例の、isucon6 というSBOMファイルから登録されたアプリケーションはすべてc30a4802-5139-703f-79ee-ff24578633d3というUUIDを持ちます。
サーバ詳細画面に戻りSBOMファイルをダウンロードするとファイル名からUUIDが確認できます。
(例: c30a4802-5139-703f-79ee-ff24578633d3.cyclonedx.json)
ソフトウェア情報とSBOMファイルの関連付け#
SBOM により登録されたソフトウェアは、種別ごとに以下の方法で登録元の SBOM ファイルを特定できます。
ソフトウェア種別:os#
ソフトウェア種別:os は OS パッケージを意味します。OS 情報と OS パッケージはサーバ SBOM からしか登録されません。 該当サーバが SBOM サーバの場合、OS パッケージはすべてサーバ SBOM ファイルから登録されたソフトウェアです。
上の OS パッケージ一覧はすべてサーバ SBOM である inspector から登録されたものです。
ソフトウェア種別:library#
ソフトウェア種別:library は依存ライブラリを意味します。依存ライブラリは、それを含むアプリケーションから登録元の SBOM ファイルを特定できます。
上のライブラリ org.apache.tomcat:tomcat-jdbc は、一覧の location 列にある Java application | e5dc48cc-09f7-c1df-f7dd-259f39eaa360 というアプリケーションに含まれています。
location 列について
ソフトウェア一覧の location 列では、ライブラリを含むアプリケーション・Lockfile・GitHub リポジトリ・AWS Lambda 関数などの情報を表示しています。
location 列のアプリケーションをたどると、登録元の SBOM ファイルがわかります。
アプリケーション Java application | e5dc48cc-09f7-c1df-f7dd-259f39eaa360 は keycloak という SBOM ファイルから登録されたものとわかります。
脆弱性✕タスクとSBOMファイルの関連付け#
タスク詳細の「関連するソフトウェア」一覧を見ると、ライブラリの場合は location 列にアプリケーション情報が表示されます。
location がない場合は OS パッケージであり、サーバ SBOM ファイルから登録されたソフトウェアです。
上のタスクの関連するソフトウェア cryptography は、location 列の vol-0c61f6f97b2a2727d:/p1:home/ubuntu/integration/data/lockfile/poetry.lock からアプリケーションを特定します。
アプリケーション vol-0c61f6f97b2a2727d:/p1:home/ubuntu/integration/data/lockfile/poetry.lock は inspector という SBOM ファイルから登録されたものとわかります。