サーバSBOMとアプリケーションSBOM#
FutureVuls には 「サーバ SBOM」として管理する方法と 「アプリケーション SBOM」 として管理する 2 つの方法があります。
サーバSBOM#
サーバ・製品 > サーバ追加 の「SBOM インポート」から登録する SBOM を サーバ SBOM と呼びます。
OS 情報や OS パッケージも含めて1台の「サーバ」を作成するイメージで、1サーバにつき1つだけ登録できます。
アップロード時に自動的にスキャンが実行され、結果は グループ設定 > スキャン履歴 から確認できます。
アプリケーションSBOM#
既に存在するサーバに「アプリケーション」の依存関係(SBOM)を追加し、言語ライブラリなどを登録する方法です。 「サーバタブ > サーバ詳細」から SBOM ファイルを追加でき、1サーバに複数登録できます。
アップロード時には自動でスキャンが実行されないため、すぐに脆弱性検知をしたい場合は別途手動スキャンを実行してください。
まとめ#
| 項目 | サーバSBOM | アプリケーションSBOM |
|---|---|---|
| 登録方法 | ・サーバタブ → サーバ追加 → SBOMインポート ・アップロード時にサーバを新規作成 |
・既に登録済みのサーバの詳細画面 → 「SBOMファイル」セクション → 追加ボタン |
| スキャン時に利用する情報 | ・OS情報(OS名・バージョン) ・OSパッケージ ・言語ライブラリ |
・OS情報・OSパッケージは利用されない ・言語ライブラリ |
| 初回スキャンタイミング | 登録直後に自動でスキャンを実行 ※ファイル形式で登録した場合は別途手動スキャンが必要 |
手動スキャン もしくは 定期スキャン |
| サーバ詳細画面での表示 | サーバ名と同じSBOMファイル名がサーバ詳細に登録され、名前の後ろに「(サーバ)」と表示 | アップロードしたSBOMファイルごとにサーバ詳細に追加され、1サーバあたり複数のアプリケーションSBOMを保持可能 |
| 登録数の制限 | 1サーバに1つのみ サーバSBOMを登録可能 | 1サーバに複数 アプリケーションSBOMを登録可能 |
| 削除方法 | サーバを削除すると、そのサーバSBOMも同時に削除 | 個別に表示される削除ボタンからSBOM単位で削除可能 |