サーバSBOMとアプリケーションSBOM
サーバSBOMとアプリケーションSBOM
FutureVuls には 「サーバ SBOM」 として管理する方法と 「アプリケーション SBOM」 として管理する 2 つの方法がございます。
サーバSBOM
- OS情報やOSパッケージも含めて「サーバ」を作成するイメージで、ファイルアップロード後すぐに自動スキャンが走ります。
- 1サーバにサーバSBOMは1つだけ登録できます。
- 「サーバタブ > サーバ追加 > SBOMインポート」から登録されるSBOMをサーバSBOMと呼びます。
アプリケーションSBOM
- すでに存在するサーバに「アプリケーション」の依存関係(SBOM)を追加し、言語ライブラリなどを登録します。
- OS情報やOSパッケージは含めないため、脆弱性スキャンは定期または手動で実行し、1サーバに複数のアプリケーションSBOMを追加できます。
- 「サーバタブ>サーバ詳細」からSBOMファイルを追加できます。
サーバSBOMとアプリケーションSBOMのまとめ
| 項目 | サーバSBOM | アプリケーションSBOM |
|---|---|---|
| 登録方法 | - サーバタブ → サーバ追加 → SBOMインポート - アップロード時にサーバを新規作成 |
- 既に登録済みのサーバの詳細画面 → 「SBOMファイル」セクション → 追加ボタン |
| スキャン時に利用する情報 | - OS情報(OS名・バージョン) - OSパッケージ - 言語ライブラリ |
- OS情報・OSパッケージは利用されない - 言語ライブラリ |
| 脆弱性情報の更新タイミング | - SBOM登録直後に自動スキャンが走り、脆弱性情報が更新 | - 手動スキャン もしくは 定期スキャン によって脆弱性情報が更新 |
| サーバ詳細画面での表示 | - サーバ名と同じSBOMファイル名がサーバ詳細に登録され、名前の後ろに「(サーバ)」と表示 | - アップロードしたSBOMファイルごとにサーバ詳細に追加され、1サーバあたり複数のアプリケーションSBOMを保持可能 |
| 登録数の制限 | - 1サーバに1つのみ サーバSBOMを登録可能 | - 1サーバに複数 アプリケーションSBOMを登録可能 |
| 削除方法 | - サーバを削除すると、そのサーバSBOMも同時に削除 | - 個別に表示される削除ボタンからSBOM単位で削除可能 |