MASTG-TEST-0275 アプリの SBOM での既知の脆弱性を持つ依存関係 (Dependencies with Known Vulnerabilities in the App's SBOM)
概要
このテストケースでは、ソフトウェア部品表 (SBOM) を使用して、iOS アプリケーションにおける既知の脆弱性を持つ依存関係をチェックします。SBOM はソフトウェアのコンポーネントと依存関係を記述するための標準である CycloneDX 形式である必要があります。
手順
開発チームに CycloneDX 形式の SBOM を共有するように依頼するか、元のソースコードにアクセスできる場合は、dependency-track に従って SBOM を作成します。
SBOM を dependency-track にアップロードします。
dependency-track プロジェクトに脆弱な依存関係の使用がないか検査します。
結果
出力には名前と CVE 識別子 (存在する場合) を持つ依存関係のリストを含む可能性があります。
評価
既知の脆弱性を持つ依存関係を見つけた場合、そのテストケースは不合格です。
PreviousMASTG-TEST-0273 依存関係マネージャのアーティファクトをスキャンして既知の脆弱性を持つ依存関係を特定する (Identify Dependencies with Known Vulnerabilities by Scanning Dependency Managers Artifacts)NextMASVS-RESILIENCE: リバースエンジニアリングと改竄に対する耐性
Last updated
Was this helpful?