GitHub Application Vulnerability Integration
Il GitHub Application Vulnerability Integration importe des données de test statique de sécurité des applications (SAST) et d’analyse de la composition logicielle (SCA) pour vous aider à afficher les alertes de vulnérabilité dans les référentiels de votre GitHub environnement.
GitHub Application Vulnerability Integration
Le GitHub Application Vulnerability Integration collecte les données du scanner et les met à la disposition du Now Platform®. Il s’intègre facilement à la ServiceNow® Réponse aux vulnérabilités des applications fonctionnalité de Réponse aux vulnérabilités mapper les vulnérabilités et GitHub les alertes tierces dans votre instance.
L’environnement GitHub prend en charge plusieurs organisations. Ces organisations, à la fois sur site et d’entreprise, peuvent contenir différents départements, tels que l’ingénierie, la qualité, la documentation, etc. Chaque organisation, à son tour, peut prendre en charge plusieurs référentiels. Après avoir importé vos données d’application avec l’intégration GitHub du référentiel, vous pouvez importer les données de vulnérabilité et d’alerte à partir de ces référentiels. Les données importées sont traitées comme une application dans l’application Réponse aux vulnérabilités des applications . Lorsque les analyseurs détectent des vulnérabilités et génèrent des alertes pour les référentiels, les vulnérabilités sont créées dans Réponse aux vulnérabilités des applications.
Il existe un utilisateur d’exécution en tant que configuré pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. Système. Ne modifiez en aucun cas cette valeur.
Versions disponibles
| Version | Notes de publication |
|---|---|
| GitHub Application Vulnerability Integration v1.2, v1.1, 1.0 |
Application Vulnerability Response release notes Pour plus d’informations sur la compatibilité, consultez Matrice de compatibilité de KB0856498 Vulnerability Response et Changements de schéma de mise en production |
Intégrations de GitHub
| Intégration | Description |
|---|---|
| GitHub Intégration de référentiel | À partir de la version 1.1, importez toutes les données d’application pour vos GitHub comptes sur site et Cloud (Enterprise). L’intégration importe les applications à partir des référentiels que vous avez configurés pour une organisation (sur site) ou de votre environnement d’entreprise (cloud). Exécutez cette intégration avant d’exécuter les autres GitHub intégrations, car elles dépendent des données d’application actuelles importées à partir de l’intégration de référentiel. |
| GitHub Intégration CodeScan | Récupère les alertes de vulnérabilité de l’analyse de code à partir des référentiels pour détecter les vulnérabilités de sécurité et les erreurs de GitHub codage. Les données importées sont mappées aux résultats SAST dans votre instance. |
| GitHub Intégration Dependabot | Récupère les alertes Dependabot pour les dépendances avec des vulnérabilités connues à partir des référentiels. Les données importées sont mappées aux résultats SCA dans votre instance. |
| GitHub Analyse secrète | Récupère les secrets du code de votre organisation ainsi que les résultats des tests de sécurité des applications. Les données sont mappées aux résultats SCA de votre instance. |
| GitHub Emplacement d’analyse secrète | Récupère l’emplacement et les numéros de ligne des secrets analysés dans le code de votre organisation pour aider vos développeurs à y remédier. |
Chargement SBOM de fichiers vers le Now Platform® à partir de vos GitHub référentiels
Déterminez si SBOM les fichiers générés dans vos pipelines CI/CD (intégration continue et livraison/déploiement continus) ont été correctement mis en file d’attente dans votre Now Platform® instance.
- Protégez vos environnements contre les composants potentiellement dangereux pendant les cycles de développement logiciel avec GitHub les actions que vous lancez à partir de votre GitHub environnement.
- Obtenez toutes les actions requises GitHub pour SBOM le chargement dans GitHub Marketplace.
Les SBOM applications sont nécessaires pour télécharger SBOM des fichiers. Consultez Explorer Nomenclature logicielle pour plus d'informations.
Affichage des données importées
Les données d’application importées à partir de l’intégration de référentiel GitHub sont affichées dans la table Applications détectées [sn_vul_app_release]. Exécutez d’abord cette intégration.
L’intégration du référentiel importe les balises et les rubriques que vous avez configurées pour un référentiel de votre GitHub compte à partir du menu Paramètres. Toutes les propriétés personnalisées se trouvent dans le menu sous votre référentiel. Les valeurs que vous définissez pour les propriétés sont importées sous forme de paires clé-valeur. Pour savoir où afficher ces informations dans votre instance, reportez-vous à la section Afficher l’état de l’exécution de l’importation et les GitHub Application Vulnerability Integration données du référentiel importées.
Les données importées (résultats) de l’intégration GitHub Dependabot sont affichées dans les tables suivantes.
- Applications détectées [sn_vul_app_release].
- Synthèses de numérisation de vulnérabilité de l’application [sn_vul_app_vul_scan_summary].
- Éléments vulnérables de l’application [sn_vul_app_vulnerable_item].
- Paquets [sn_vul_app_package].
Les données importées à partir de l’intégration GitHub CodeScan sont affichées dans les tables suivantes.
- Applications détectées [sn_vul_app_release].
- Synthèses de numérisation de vulnérabilité de l’application [sn_vul_app_vul_scan_summary].
- Entrées de vulnérabilité de l’application [sn_vul_app_vul_entry].
- Éléments vulnérables de l’application [sn_vul_app_vulnerable_item].