インジェストされたファイルの比較

エビデンス ストアには、SBOM ファイル、脆弱性スキャン、コンプライアンス評価など、取り込まれたデータの履歴変更ログが含まれます。

インベントリー > エビデンスストアへ。

コンサートUIのエビデンスストアのスクリーンショット
  1. 選択した日付範囲に基づく証拠ファイルの総数。
  2. 証拠ファイルをフィルタリングする日付範囲。
  3. 折れ線グラフにカーソルを合わせると、インジェストされたファイルの詳細を見ることができます。
  4. 結果をフィルタリングするデータタイプを選択します。
  5. インジェストされたファイルの検索と一覧表示。
注: Evidence StoreはXLSまたはXLSX形式のファイルの閲覧や比較をサポートしていません。
注意:接続されたサードパーティ統合から直接取り込まれたデータは、エビデンスストアには含まれません。 SBOM ファイル UIからアップロード または API または ツールキットの使用 だけが現れる。
表 1. エビデンスストアに表示されるデータの種類エビデンスストアには、Concertにアップロードされたファイルのログが含まれ、以下のデータタイプが含まれます:
証拠データの種類 説明
構成ファイル サードパーティツールからConcertにデータを取り込む自動データ取り込みジョブによって生成される設定ファイル(ConfigMap)。
アプリケーション SBOM Concert定義(ConcertDefフォーマットのアプリケーションSBOM(JSON)ファイル。 これは、コンポーネント、ライブラリ、その他の依存関係を含む、アプリケーションの意図された構造のハイレベルなビューを含んでいます。
SBOM の構築 Concert-defined (ConcertDef)フォーマットのビルドSBOM (JSON)ファイル。 これは、ビルドプロセスと、ビルド中に使用される依存関係やコンフィギュレーションについて説明している。
SBOM のデプロイ Concert定義(ConcertDefフォーマットのデプロイSBOM(JSON)ファイル。 このSBOMタイプは、環境変数、ネットワーク設定、およびランタイム設定を含む、展開のためのアプリケーションの構成とセットアップを記述する。
パッケージ SBOM パッケージのSBOM(JSON)ファイル CycloneDXフォーマット。 このSBOMタイプには、パッケージのバージョンとライセンスを含む、アプリケーションのパッケージングと配布のマニフェストが含まれる。 また、パッケージに含まれるサードパーティのライブラリやコンポーネントも含まれる。
コンプライアンス評価 OSCAL形式のコンプライアンス・スキャン(JSON)ファイル。 アプリケーションと環境のコンプライアンスに関する情報と、修復および緩和戦略に関する推奨事項が記載されています。
証明書 ConcertDefSBOM(JSON)またはカスタム CSV フォーマットに、組織の証明書に関する情報を含めることで、期限切れの証明書を追跡し、ミティゲーションを迅速に行うことができます。
イメージ・スキャン CSV、XLS、XLSX、またはツール固有のJSONファイル形式の脆弱性イメージスキャンファイル、またはCycloneDX形式のVDRファイル。 詳細については、サポートされている脆弱性スキャンの形式を参照してください。
VM のスキャン CSV、XLS、またはXLSX形式の脆弱性仮想マシンスキャンファイル。 詳細については、サポートされている脆弱性スキャンの形式を参照してください。
コード・スキャン CSV、XLS、XLSX、またはツール固有のJSONファイル形式の脆弱性ソースコードスキャンファイル、またはCycloneDX形式のVDRファイル。 詳細については、サポートされている脆弱性スキャンの形式を参照してください。
静的コード・スキャン これには、CSV、XLSX、XLS、またはツール固有のJSONファイル形式の非CVE暴露スタティック・コード・スキャン(SAST)ファイルが含まれます。 詳細については、サポートされている脆弱性スキャンの形式を参照してください。
動的スキャン これには、CSV、XLSX、XLS、またはツール固有のJSONファイル形式の非CVE暴露ダイナミックスキャン(DAST)ファイルが含まれます。 詳細については、 サポートされている脆弱性スキャンの形式を参照してください。
CVE 自動修復 自動修復アクションの記録。Historyカラムを持つJSONビューファイルを含み、主要なイベント(Patch Identified、Patch Approved、Patch Scheduled、Patch Successfulを含む)、ユーザー、コメント、タイムスタンプ情報を追跡する。 自動修復アクションの詳細については、「 Concert ワークフローを使用した自動修復 」を参照してください。
注意:カスタムデータ型の証拠品アップロードは、証拠品ストアアクセス制御検索ではサポートされていません。
リスト内の2つのファイルの横にあるチェックボックスを選択し、[ 比較] をクリックして2つのファイルを並べて比較し、変更点を確認します。違いを比較するために2つのSBOMファイルを選択したスクリーンショット

または、詳細ページからアプリケーション固有のエビデンスにアクセスすることもできます。

  1. インベントリアプリケーションを開きます。
  2. アプリケーション名をクリックすると詳細が表示されます。
  3. 選択したアプリケーションに関連する SBOM ファイルのリストを表示するには、[ Overview] タブをクリックします。
  4. 2つのファイルの横にあるチェックボックスを選択します。
    相違点を比較するために2つのSBOMファイルを選択したアプリケーションの詳細スクリーンショット
  5. 比較をクリックすると、経時的な違いや変化を行ごとに比較することができます。
注:既知の制限により、1MBを超えるファイルの比較はサポートされていません。