Chuyển tới nội dung chính

ASPM v1.5.1

I. Thông tin nổi bật

FPT Smart Cloud giới thiệu tính năng SBOM Inventory trong phiên bản AppSec v1.5.1 thuộc nền tảng FPT Security Platform (FSP).

SBOM Inventory (Software Bill of Materials) cung cấp khả năng quản lý và theo dõi toàn bộ software component (dependencies) được phát hiện trong source code và container image của các asset đã tích hợp. Tính năng giúp đội AppSec và DevSecOps Lead nhanh chóng nhận diện các rủi ro supply chain, lỗ hổng CVE và xác định phạm vi ảnh hưởng của từng component trong tổ chức. Dữ liệu SBOM được tổng hợp tự động từ lần scan gần nhất, kết hợp giữa source code scan và container image scan.


II. Tính năng released

1. SBOM Inventory

a. Mô tả

SBOM Inventory cung cấp cái nhìn toàn diện về các software component (dependencies) đang được sử dụng trong hệ thống, bao gồm supply chain risks, vulnerabilities và mức độ ảnh hưởng trên toàn bộ asset của tổ chức. Người dùng truy cập từ menu SBOM → SBOM Inventory và drill-down vào từng component qua 3 tab: Supply Chain Attacks, VulnerabilitiesAffected Assets.

b. Tính năng

SBOM Inventory — Danh sách Component:

  • Hiển thị software component phát hiện từ SCA scan (source code và container image)
  • Hiển thị supply chain attacks, CVE theo severity (Critical / High / Medium / Low), license và số affected assets
  • Filter theo Ecosystem và License; tìm kiếm theo tên component
  • Sắp xếp theo Supply Chain Attacks, Vulnerabilities và Affected Assets
  • Lọc theo team scope (Org Admin xem toàn bộ; User xem theo team được phân quyền)
  • Hỗ trợ phân trang

Component Detail — Tab Supply Chain Attacks:

  • Danh sách chiến dịch tấn công supply chain liên quan đến component
  • Thông tin campaign: tên, recommended fix, registry, malicious dependency và ngày công bố
  • Filter theo Registry; tìm kiếm theo campaign name hoặc malicious dependency
  • Click Campaign Name để xem chi tiết tham chiếu (external link)

Component Detail — Tab Vulnerabilities:

  • Danh sách CVE liên quan đến component với severity (CVSS score), CVE ID, mô tả, phiên bản fix, trạng thái Exploited In The Wild và Public PoC
  • Filter theo Severity, Exploited status và Public PoC; tìm kiếm theo CVE ID hoặc description
  • Click CVE ID để xem chi tiết (external link)

Component Detail — Tab Affected Assets:

  • Danh sách asset (repository và container image) đang sử dụng component
  • Tên asset, integration type (GitHub / GitLab / GitLab Server / Harbor / FPT Container Registry) và thời điểm scan gần nhất
  • Filter theo Integration Type; tìm kiếm theo tên asset

c. Giới hạn

  • Hỗ trợ component từ nhiều asset và nhiều loại scan (source code + container image)
  • Quản lý component theo team scope: Org Admin xem toàn bộ; User xem theo team được phân quyền
  • Tổng hợp dữ liệu từ nhiều ecosystem: Debian, npm, PyPI, Maven và các ecosystem phổ biến khác
  • Component được xác định duy nhất theo Name + Version + Ecosystem

d. Hiệu năng

  • Tải danh sách component nhanh với phân trang mặc định 10 item/trang
  • Filter và search được áp dụng tức thì theo AND condition
  • Dữ liệu được tổng hợp tự động từ lần scan gần nhất, không cần thao tác thủ công
  • Hỗ trợ hiển thị số lượng CVE lớn (1–999.999) với định dạng rút gọn