Vigiles ファーストステップガイド 4 「SBOM ダッシュボードの使い方」

2025 年 05 月 14 日   Vigiles サポート

概要

本ブログでは、「Vigiles ファーストステップガイド」として、Vigiles をご活用いただくための必要な情報を紹介いたします。

第四回は「SBOM ダッシュボードの使い方」についてご紹介います。

SBOM ダッシュボード

Vigiles ダッシュボード から Product に登録されている SBOM を選択すると SBOM ダッシュボードが表示されます。 SBOM ダッシュボード では SBOM に関する情報の確認や編集が行えます。
その他に、定期スキャンと通知の設定、SBOM の比較やダウンロード・編集、最新 CVE レポートの表示やリスキャン、 NTIA 準拠のチェック*が可能です。

* SPDX のみサポート

CVE レポートサマリ

SBOM ダッシュボードでは、報告された CVE のレポートサマリ情報が確認できます。 サマリは１回でも CVE チェックを実行すると表示され、最新の CVE レポートのうち、対応済みの CVE と未対応の CVE の CVSS スコア毎の割合が確認できます。

コンポーネントリスト

SBOM に含まれるコンポーネントの一覧をリストで確認できます。
リストのコンポーネント行を展開することで、適用済みパッチ情報などのコンポーネントの詳細情報が表示されます。

SBOM Info

SBOM Info では、登録した SBOM のフォーマット、アップロードした時間が確認できます。
ビルドシステムからジェネレートした場合はビルドシステム情報が表示され、ここでは指定したターゲットやシステムのバージョン情報などが確認できます。

License Policy Violations

License Policy Violations は Compliance の License Policy で Alert 指定した条件に合致するコンポーネントのリストが表示されます。
同様に New Components では、New Component Policy で Alert 指定した場合、バージョン管理された SBOM について、ひとつ前のバージョンからパッケージが追加された場合に表示されます。

Alert 設定は各 Product の compliance から設定できます。
デフォルトでは何も設定されていない状態となっています。

License Policy を有効にする場合は、Enable alertsをチェックします。
例えばライセンスに GPLv3 が含まれるものを Alert 指定する場合は LicenseName にGPL-3.0、MatchType に Contains を指定して、Add Licenseをクリックして設定します。

New コンポーネントの通知設定を有効にする場合には、New コンポーネントポリシーのEnable をチェックします。

設定したら Save をクリックし設定を保存します。

上記の手順で次に SBOM ダッシュボードを表示する際から条件に合うコンポーネントがあれば表示されるようになります。

以上が SBOM ダッシュボードの使い方の説明となります。