サーバSBOMとアプリケーションSBOM#
FutureVuls には 「サーバ SBOM」として管理する方法と 「アプリケーション SBOM」 として管理する 2 つの方法があります。
サーバSBOM#
- OS情報やOSパッケージも含めて「サーバ」を作成するイメージで、ファイルアップロード後すぐに自動スキャンが走ります。
- 1サーバにサーバSBOMは1つだけ登録できます。
- 「サーバタブ > サーバ追加 > SBOMインポート」から登録されるSBOMをサーバSBOMと呼びます。
アプリケーションSBOM#
- すでに存在するサーバに「アプリケーション」の依存関係(SBOM)を追加し、言語ライブラリなどを登録します。
- OS情報やOSパッケージは含めないため、脆弱性スキャンは定期または手動で実行し、1サーバに複数のアプリケーションSBOMを追加できます。
- 「サーバタブ>サーバ詳細」からSBOMファイルを追加できます。
まとめ#
| 項目 | サーバSBOM | アプリケーションSBOM |
|---|---|---|
| 登録方法 | ・サーバタブ → サーバ追加 → SBOMインポート ・アップロード時にサーバを新規作成 |
・既に登録済みのサーバの詳細画面 → 「SBOMファイル」セクション → 追加ボタン |
| スキャン時に利用する情報 | ・OS情報(OS名・バージョン) ・OSパッケージ ・言語ライブラリ |
・OS情報・OSパッケージは利用されない ・言語ライブラリ |
| 脆弱性情報の更新タイミング | SBOM登録直後に自動スキャンが走り、脆弱性情報が更新 | 手動スキャン もしくは 定期スキャン によって脆弱性情報が更新 |
| サーバ詳細画面での表示 | サーバ名と同じSBOMファイル名がサーバ詳細に登録され、名前の後ろに「(サーバ)」と表示 | アップロードしたSBOMファイルごとにサーバ詳細に追加され、1サーバあたり複数のアプリケーションSBOMを保持可能 |
| 登録数の制限 | 1サーバに1つのみ サーバSBOMを登録可能 | 1サーバに複数 アプリケーションSBOMを登録可能 |
| 削除方法 | サーバを削除すると、そのサーバSBOMも同時に削除 | 個別に表示される削除ボタンからSBOM単位で削除可能 |