search

MASTG-TEST-0275 アプリの SBOM での既知の脆弱性を持つ依存関係 (Dependencies with Known Vulnerabilities in the App's SBOM)

hashtag
概要

このテストケースでは、ソフトウェア部品表 (SBOM) を使用して、iOS アプリケーションにおける既知の脆弱性を持つ依存関係をチェックします。SBOM はソフトウェアのコンポーネントと依存関係を記述するための標準である CycloneDX 形式である必要があります。

hashtag
手順

  1. 開発チームに CycloneDX 形式の SBOM を共有するように依頼するか、元のソースコードにアクセスできる場合は、dependency-track に従って SBOM を作成します。

  2. SBOM を dependency-track にアップロードします。

  3. dependency-track プロジェクトに脆弱な依存関係の使用がないか検査します。

hashtag
結果

出力には名前と CVE 識別子 (存在する場合) を持つ依存関係のリストを含む可能性があります。

hashtag
評価

既知の脆弱性を持つ依存関係を見つけた場合、そのテストケースは不合格です。

PreviousMASTG-TEST-0273 依存関係マネージャのアーティファクトをスキャンして既知の脆弱性を持つ依存関係を特定する (Identify Dependencies with Known Vulnerabilities by Scanning Dependency Managers Artifacts)NextMASVS-RESILIENCE: リバースエンジニアリングと改竄に対する耐性

Last updated