サーバSBOMとアプリケーションSBOM#
FutureVuls には 「サーバ SBOM」として管理する方法と 「アプリケーション SBOM」 として管理する 2 つの方法があります。
サーバSBOM#
サーバ・製品 > サーバ追加の「SBOM インポート」から登録される SBOM をサーバ SBOM と呼びます- OS 情報や OS パッケージも含めて「サーバ」を作成するイメージです
- 1サーバにサーバ SBOM は1つだけ登録できます
- アップロード時に自動的にスキャンが実行されます。スキャン結果は
グループ設定 > スキャン履歴から確認してください
アプリケーションSBOM#
- すでに存在するサーバに「アプリケーション」の依存関係(SBOM)を追加し、言語ライブラリなどを登録します
- 「サーバタブ>サーバ詳細」から SBOM ファイルを追加できます
- 1サーバに複数のアプリケーション SBOM を追加できます
- アップロード時に自動的にスキャンは実行されないため、アップロード後すぐに脆弱性検知をしたい場合は別途手動スキャンを実行してください
まとめ#
| 項目 | サーバSBOM | アプリケーションSBOM |
|---|---|---|
| 登録方法 | ・サーバタブ → サーバ追加 → SBOMインポート ・アップロード時にサーバを新規作成 |
・既に登録済みのサーバの詳細画面 → 「SBOMファイル」セクション → 追加ボタン |
| スキャン時に利用する情報 | ・OS情報(OS名・バージョン) ・OSパッケージ ・言語ライブラリ |
・OS情報・OSパッケージは利用されない ・言語ライブラリ |
| 初回スキャンタイミング | 登録直後に自動でスキャンを実行 ※ファイル形式で登録した場合は別途手動スキャンが必要 |
手動スキャン もしくは 定期スキャン |
| サーバ詳細画面での表示 | サーバ名と同じSBOMファイル名がサーバ詳細に登録され、名前の後ろに「(サーバ)」と表示 | アップロードしたSBOMファイルごとにサーバ詳細に追加され、1サーバあたり複数のアプリケーションSBOMを保持可能 |
| 登録数の制限 | 1サーバに1つのみ サーバSBOMを登録可能 | 1サーバに複数 アプリケーションSBOMを登録可能 |
| 削除方法 | サーバを削除すると、そのサーバSBOMも同時に削除 | 個別に表示される削除ボタンからSBOM単位で削除可能 |