ASPM v1.5.1
I. ハイライト
FPT Smart Cloud は FPT Security Platform (FSP) の AppSec v1.5.1 で SBOM Inventory を導入します。
SBOM Inventory (Software Bill of Materials) は、統合済み asset のソースコードとコンテナイメージで検出されたすべての software component (dependencies) を管理・追跡する機能です。AppSec および DevSecOps Lead チームは、supply chain リスク、CVE 脆弱性を素早く特定し、組織全体における各 component の影響範囲を把握できます。SBOM データは、ソースコードスキャンとコンテナイメージスキャンを組み合わせた直近のスキャンから自動的に集計されます。
II. リリース機能
1. SBOM Inventory
a. 説明
SBOM Inventory は、システム内で使用されている software component (dependencies) の包括的なビューを提供します。supply chain リスク、脆弱性、および組織内の全 asset への影響カバレッジが含まれます。SBOM → SBOM Inventory メニューからアクセスし、Supply Chain Attacks、Vulnerabilities、Affected Assets の 3 つのタブで各 component の詳細を確認できます。
b. 機能
SBOM Inventory — Component リスト:
- SCA スキャン(ソースコードおよびコンテナイメージ)で検出された software component を表示
- component ごとに supply chain attacks、severity 別 CVE(Critical / High / Medium / Low)、license、affected asset 数を表示
- Ecosystem と License によるフィルター、component 名による検索
- Supply Chain Attacks、Vulnerabilities、Affected Assets による並べ替え
- team scope によるデータフィルター(Org Admin は全体を表示、User は割り当て済みチームのみ)
- ページネーションサポート
Component Detail — Supply Chain Attacks タブ:
- component に関連する supply chain 攻撃キャンペーンを表示
- キャンペーン詳細: 名前、推奨修正、registry、malicious dependency、公開日
- Registry でフィルター、campaign 名または malicious dependency で検索
- Campaign Name をクリックして外部リンクで参照を表示
Component Detail — Vulnerabilities タブ:
- component に関連する CVE を severity(CVSS スコア)、CVE ID、説明、修正バージョン、Exploited In The Wild ステータス、Public PoC とともに表示
- Severity、Exploited ステータス、Public PoC でフィルター、CVE ID または説明で検索
- CVE ID をクリックして詳細を表示(外部リンク)
Component Detail — Affected Assets タブ:
- component を使用している asset(repository およびコンテナイメージ)を表示
- asset 名、integration type(GitHub / GitLab / GitLab Server / Harbor / FPT Container Registry)、直近のスキャン時刻
- Integration Type でフィルター、asset 名で検索
c. キャパシティ
- 複数の asset とスキャン種別(ソースコード + コンテナイメージ)からの component
- team scope 管理: Org Admin は全体を表示、User は割り当て済みチームのみ
- 複数 ecosystem 対応: Debian、npm、PyPI、Maven、その他の一般的な ecosystem
- Name + Version + Ecosystem の組み合わせで component を一意に識別
d. パフォーマンス
- デフォルト 10 件/ページのページネーションによる高速な component リスト読み込み
- AND ロジックでフィルターと検索を即時適用
- 直近のスキャンからデータを自動集計 — 手動操作不要
- 大規模 CVE 数(1〜999,999)の省略表示形式に対応