脆弱性対応Veracode リリースノートとの統合

  • リリースバージョン: Store
  • 更新日 2025年01月30日
  • 所要時間:8分

    • ServiceNow Store上の Veracode との 脆弱性対応 統合のバージョン履歴。

    重要:
    システム要件とファミリーの互換性の詳細については、ServiceNow Store Web サイトのアプリケーションリストを参照してください。

    バージョン履歴

    バージョン 2.12.2 - 2025 年 2 月
    • 変更:コンテナ脆弱性一致アイテム (CVIT) が最初に検出され、最後に開かれ、解決され、最後に発見された正確な日時を確認できるようになり、明確さが確保され、さまざまなタイムゾーンが考慮されます。
    • 修正済み:CVIT フォームの UI アクションと検証が、現在のステータスと一致するようになりました。
    バージョン 4.5.1 - 2024 年 11 月
    • 修正済み:
      • ソフトウェア構成分析 (SCA) 検出結果に対するスキャン更新のデータ不一致に対して提供される修正。
      • 特に Veracode リンクプロジェクトと Veracode SBOM 統合の再試行エラーとスキップエラーに対処するためのエラー処理の修正。これら 2 つの統合で削除されたアプリケーションをサポートするために、ユーザーは 403 エラーと 404 エラーをスキップして 50x エラーを再試行することを選択できます。
    • 変更:
      • Veracode からインポートされた SCA 検出結果データの最終更新を優先するスキャンを選択できます。Veracode 設定ページでは、変更するまでは [Default] が設定値です。[SCA 検出結果を含める] チェックボックスをオンにして、リストからいずれかを選択する必要があります。
        • エージェント:エージェントスキャン結果は、SCA 検出結果の最終更新を行います
        • アップロード:アップロードスキャン結果は、SCA 検出結果の最終更新を行います
        • デフォルト:エージェントスキャンまたはアップロードスキャンのいずれかで最後に処理されたスキャンによって、SCA 検出結果が最終的に更新されます
    • 注:構成ページで [SCA 検出結果を含める] チェックボックスをオンにしないと、リストから選択したスキャンは使用されず、最後に処理されたスキャンによって最終的な更新が行われます。
    • Now Platform からインポートされたアプリケーションの Veracode による追加と削除のサポート。
    • プラットフォームが Veracode によって既に削除されたアプリケーションを要求する場合にエラーを防ぐには、[sn-vul-veracode.app-mark-unseen-apps-inactive] システムプロパティの値を「true」に設定します。このプロパティが「true」 (アクティブ化) に設定されている場合、アプリケーションリスト統合のインポートが成功すると、プラットフォーム内の未表示のアプリケーションが「非アクティブ」としてマークされます。
    バージョン 4.4.2 - 2024 年 10 月
    • ソフトウェア構成分析 (SCA) 検出結果に対するスキャン更新のデータ不一致のために提供された修正。
    • Veracode からインポートされた SCA 検出結果データの最終更新を優先するスキャンを選択できます。Veracode 設定ページでは、変更するまでは「デフォルト」が設定値です。[SCA 検出結果を含める] チェックボックスをオンにして、リストから検出結果を選択する必要があります。
      • エージェント:エージェントスキャン結果は、SCA 検出結果の最終更新を行います
      • アップロード:アップロードスキャン結果により、SCA 検出結果が最終的に更新されます
      • デフォルト:エージェントスキャンまたはアップロードスキャンのいずれかで最後に処理されたスキャンによって、SCA 検出結果が最終的に更新されます
    • 注: 構成ページで「SCA 検出結果を含める」チェック・ボックスを選択しないと、リストから選択したスキャンは使用されず、最後に処理されたスキャンによって最終的な更新が行われます。
    • Now Platform からインポートされた Veracode によるアプリケーションの追加と削除をサポートします。
      • プラットフォームが Veracode によって既に削除されたアプリケーションを要求する場合にエラーを防ぐには、[sn-vul-veracode.app-mark-unseen-apps-inactive] システムプロパティの値を「true」に設定します。このプロパティが「true」 (アクティブ化) に設定されている場合、アプリケーションリスト統合のインポートが成功すると、プラットフォーム内の未表示のアプリケーションが「非アクティブ」としてマークされます。
    • 特に Veracode リンクプロジェクトと Veracode SBOM 統合の再試行エラーとスキップエラーに対処するためのエラー処理の修正。これら 2 つの統合で削除されたアプリケーションをサポートするために、ユーザーは 403 エラーと 404 エラーをスキップして 50x エラーを再試行することを選択できます。
    バージョン 4.3.3 - August 2024
    • 新規:
      • Veracode 脆弱性統合構成ページの改善:
        • API リージョンと API タイムアウトパラメーターがサポートされています。
        • SBOM Response がインストールされている場合は、アップロードする SBOM ファイルに Veracode で検出された脆弱性を含めることができます。
      • Vericode' は、アップロードする Veracode SBOM ファイルの部品表 [sn_sbom_doc] テーブルにあるレコードの [ソース] フィールドにマッピングされます。
    • 修正済み:
      • 次の改善をサポートするために、データマッピングが変更されました。
        • アプリケーション脆弱性一致アイテム (AVIT) では、[ソース解決日] フィールドと [最終検出日] フィールドが入力されます。
        • ソースの追加情報の属性のフィルタリング機能では、キーと値のペアが文字列フィールドに保持されます。
    バージョン 4.2.7 - June 2024
    新規:アプリケーション脆弱性一致アイテムの自動クローズが Veracode 統合でサポートされています。
    バージョン 4.2.4 - 2024 年 5 月
    • 新規:
      • アプリケーション脆弱性一致アイテム (sn_vul_app_vulnerable_item) テーブルの Veracode アプリケーション脆弱性一致アイテム (AVIT) の [詳細を取得] を選択するか、脆弱性対応ワークスペースのリストビューから [詳細を取得] を選択して、Veracode からの次の情報で Veracode AVIT を更新します。
        • DAST スキャンの HTTP ソース要求とソース応答の詳細は、HTTP の [要求/応答] 関連リストに表示されます。
        • Veracode からのソリューションの推奨事項が [検出結果] 関連リストに表示されます。
        • 脆弱性対応ワークスペースの [詳細] タブで、HTTP ソース要求、ソース応答、および推奨事項を表示できます。
        • [説明] 列は、アプリケーション脆弱性一致アイテム (sn_vul_app_vulnerable_item) テーブルでサポートされています。
      • 合計処理時間、統合前後のプロセスの平均時間、統合実行レコードに関するレポートなどの詳細を表示します。
    バージョン 4.1.11 - March 2024
    修正済み:ビジネスアプリケーション参照が、Veracode ソフトウェア部品表 (SBOM) 統合の実行中に検出されたアプリケーションデータを使用して解決され、期待どおりに BOM エンティティにマッピングされます。
    バージョン 4.1.8 - 2024 年 2 月
    • 新規:
      • 構成アイテム (CI) ルックアップルールを再適用して、既存の CI (スキャンされたアプリケーションと製品モデル) を更新できます。
      • [グループ構成] タブの修復タスクレコードから、アプリケーション脆弱性一致アイテム (AVIT) の修復タスク (AVUL) を手動で作成します。
    • 修正済み:
      • アプリケーション脆弱性一致アイテムレコード (AVIT) の機能拡張により、次の情報を表示できます。
        • 依存関係と修復作業の情報。
        • 想定どおりに入力された脆弱性値。
    バージョン 3.5.0 - 2023 年 2 月
    修正済み:Veracode アプリケーションリストの JSON 統合に関連するページネーションの問題が修正されました。
    バージョン 3.4.0 - 2022 年 11 月
    • 新規:デルタ取り込みのサポートを提供する新しい統合、Veracode アプリケーションリスト JSON 統合が導入されました。
    • 変更: アプリケーションの脆弱性とスキャンサマリーは、前回のインポート日以降にスキャンされたアプリケーションからのみ取り込むことができるようになりました。
    バージョン 3.3.0 - March 2022
    新規:ServiceNow 内でトリアージを実行するオプションが追加されました。例外を要求するか、AVI を誤検出としてマークするには、このオプションを有効にします。AVI の新しいステータスマッピングロジックを使用します。
    バージョン 3.2.0 - February 2022
    このバージョンには、新しい機能や更新プログラムは含まれていません。このバージョンでは、前回のリリースの機能が San Diego ファミリリリースと互換性があることが保証されています。
    バージョン 3.1.0 - October 2021
    依存関係アプリケーションのバージョン番号が更新されました。
    バージョン 3.0.1 - 2021 年 6 月
    新規:SAST の検出結果を取り込み、アプリケーションのセキュリティリスクを検出し、これらの脆弱性の修正に役立てます。
    バージョン 2.0.0 - 2021 年 2 月
    新規:[SDLC ステータス]、[脆弱性のサマリー]、[脆弱性の説明]、および [推奨事項] として追加フィールドがインポートされ、アプリケーション脆弱性一致アイテムフォームに表示するようにマッピングされました。
    バージョン 1.0.1 - December 2020
    修正。
    バージョン 1.0.0 - 2020 年 10 月
    • 新規:
      • 脆弱性対応と Veracode の統合の初期リリース
      • 動的アプリケーションセキュリティテスト (DAST) をサポート