GitHub 애플리케이션 취약성 통합
이 기능은 GitHub 애플리케이션 취약성 통합 정적 SAST(애플리케이션 보안 테스트) 및 SCA(소프트웨어 구성 분석) 데이터를 임포트하여 GitHub 사용자 환경의 리포지토리에서 취약성 경보를 확인하는 데 도움이 됩니다.
GitHub 애플리케이션 취약성 통합
GitHub 애플리케이션 취약성 통합 는 스캐너 데이터를 수집하고 해당 데이터를 사용할 수 있도록 Now Platform®합니다. 인스턴스의 ServiceNow® 애플리케이션 취약성 대응 타사 취약성 및 GitHub 경보를 매핑하는 기능과 취약성 대응 쉽게 통합됩니다.
환경은 GitHub 여러 조직을 지원합니다. 이러한 조직(온 프레미스 및 엔터프라이즈 모두)에는 엔지니어링, 품질, 설명서 등의 다양한 부서가 포함될 수 있습니다. 각 조직은 여러 리포지토리를 지원할 수 있습니다. 리포지토리 통합을 통해 GitHub 애플리케이션 데이터를 임포트한 후 이러한 리포지토리에서 취약성 및 경보 데이터를 임포트할 수 있습니다. 임포트한 데이터는 애플리케이션 내 애플리케이션처럼 처리됩니다.애플리케이션 취약성 대응 스캐너가 취약성을 탐지하고 리포지토리에 대한 경보를 생성하면 에 취약성이 생성 애플리케이션 취약성 대응됩니다.
각 통합 기록에 대해 구성된 실행 사용자가 있습니다. 이 사용자의 기본값은 VR입니다. 시스템. 이 값은 변경하지 마십시오.
사용 가능한 버전
| 릴리스 버전 | 릴리스 정보 |
|---|---|
| 에 호환 되는 버전으로 업그레이드하려면 설치 또는 업그레이드 시 30.x로 시작하는 버전을 선택하십시오. | Application Vulnerability Response release notes 호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경을 참조하십시오 |
| 호환되는 버전 으로 업그레이드하지 않으려면 설치 또는 업그레이드 시 30.x 미만의 버전을 선택하십시오. |
GitHub 통합
| 통합 | 설명 |
|---|---|
| GitHub 리포지토리 통합 | v1.1부터는 온프레미스 및 클라우드(엔터프라이즈) 계정에 대한 모든 애플리케이션 데이터를 임포트합니다 GitHub . 통합은 조직(온 프레미스) 또는 엔터프라이즈(클라우드) 환경에 대해 구성한 리포지토리에서 애플리케이션을 임포트합니다. 다른 통합은 리포지토리 통합에서 임포트한 현재 애플리케이션 데이터에 따라 달라지므로 다른 GitHub 통합을 실행하기 전에 이 통합을 실행하십시오. |
| GitHub CodeScan 통합 | 리포지토리에서 GitHub 보안 취약성 및 코딩 오류에 대한 Code Scanning 취약성 경보를 검색합니다. 임포트한 데이터가 인스턴스의 SAST 결과에 매핑됩니다. |
| GitHub Dependabot 통합 | 리포지토리에서 알려진 취약성이 있는 종속성에 대한 Dependabot alerts를 검색합니다. 임포트한 데이터가 인스턴스의 SCA 결과에 매핑됩니다. |
| GitHub 비밀 스캔 | 애플리케이션 보안 테스트 결과와 함께 조직 코드에서 비밀을 검색합니다. 데이터가 인스턴스의 SCA 결과에 매핑됩니다. |
| GitHub 비밀 스캔 위치 | 개발자의 수정을 돕기 위해 조직 코드에서 스캔한 암호의 위치 및 라인 번호를 검색합니다. |
리포지토리에서 GitHub 에 Now Platform® 파일 업로드 SBOM
CI/CD(지속적 통합 및 지속적 제공/배포) 파이프라인에서 생성된 파일이 인스턴스에서 Now Platform® 성공적으로 큐에 대기했는지 SBOM 확인합니다.
- 환경에서 시작하는 GitHub 작업을 통해 GitHub 소프트웨어 개발 주기 중에 잠재적으로 유해한 구성 요소로부터 환경을 보호합니다.
- GitHub Marketplace에서 업로드하는 데 SBOM 필요한 GitHub 작업을 가져옵니다.
SBOM 애플리케이션을 업로드 SBOM 해야 합니다. 자세한 내용은 소프트웨어 자재 명세서 탐색 문서를 참조하십시오.
임포트한 데이터 보기
리포지토리 통합에서 GitHub 임포트한 애플리케이션 데이터가 검색된 애플리케이션 [sn_vul_app_release] 테이블에 표시됩니다. 이 통합을 먼저 실행하십시오.
Repos 통합은 설정 메뉴에서 계정의 리포지토리에 대해 구성한 태그와 주제를 임포트합니다 GitHub . 모든 사용자 지정 속성은 리포지토리 아래의 메뉴에 있습니다. 속성에 대해 설정한 값은 키-값 쌍으로 임포트됩니다. 인스턴스에서 이 정보를 볼 수 있는 위치에 대한 자세한 내용은 다음 문서를 참조하십시오 임포트 실행 상태와 임포트한 리포지토리 데이터 보기 GitHub 애플리케이션 취약성 통합.
Dependabot Integration에서 GitHub 임포트한 데이터(결과)가 다음 테이블에 표시됩니다.
- 검색된 애플리케이션 [sn_vul_app_release]
- 애플리케이션 취약성 검사 요약[sn_vul_app_vul_scan_summary].
- 애플리케이션 취약한 항목 [sn_vul_app_vulnerable_item]
- 패키지 [sn_vul_app_package].
GitHub CodeScan 통합에서 임포트한 데이터가 다음 테이블에 표시됩니다.
- 검색된 애플리케이션 [sn_vul_app_release]
- 애플리케이션 취약성 검사 요약[sn_vul_app_vul_scan_summary].
- 애플리케이션 취약성 항목 [sn_vul_app_vul_entry]
- 애플리케이션 취약한 항목 [sn_vul_app_vulnerable_item]