Veracode Vulnerability Integration

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 21일
  • 읽기7분

    • 애플리케이션과의 Veracode 통합은 Vulnerability Response 제품에서 Veracode 임포트한 데이터를 사용하여 코드 결함의 영향과 우선순위를 결정하는 데 도움을 줍니다.

    Veracode Vulnerability Integration

    Veracode 제품은 DAST(Dynamic Application Security Testing), SAST(Static Application Security Testing) 및 수동 스캐너 데이터를 수집하여 .Now Platform® 타사 취약성을 매핑하는 기능과 Vulnerability Response 쉽게 통합 Application Vulnerability Response 되어 인스턴스의 데이터를 보강합니다.

    의 v19.0 Vulnerability Response부터는 소프트웨어 애플리케이션의 약점을 식별하는 데 도움이 되도록 SCA(Software Composition Analysis) 취약성 Software Bill of Materials 및 (SBOM) 취약성 데이터를 가져올 수 있습니다. 자세한 내용은 Software Bill of Materials 탐색 문서를 참조하십시오.

    공유 API는 DAST, SAST, SCA 데이터 및 수동 침투 테스트 결과를 수집합니다.

    각 통합 기록에 대해 구성된 실행 사용자가 있습니다. 이 사용자의 기본값은 VR입니다. 체계. 이 값은 변경하지 마십시오.

    예약된 작업은 매일 나열된 순서대로 통합을 자동으로 호출합니다. 예약된 개별 작업을 수동으로 실행할 수도 있습니다. 예약된 작업은 인스턴스를 다른 취약성 관리 시스템과 동기화된 상태로 유지하여 취약성 정정 수명주기를 단순화합니다.

    사용 가능한 버전

    릴리스 버전 릴리스 정보

    Veracode 4.1

    Veracode 4.0

    		 Application Vulnerability Response release notes

    호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경 내용을 참조하십시오.

    사용자 그룹 및 역할

    Veracode Vulnerability Integration 시스템 관리자 [admin]가 설치하고 App-Sec 관리자 그룹의 구성원이 구성합니다. 자세한 내용은 Application Vulnerability Response 사용자 그룹 및 역할 문서를 참조하십시오.

    Veracode Vulnerability Integration

    취약성 통합을 보려면 Veracode 다음으로 이동하십시오. 모두 > Veracode Vulnerability Integration > 통합레이블이 표시됩니다.

    기본 시스템에는 다음과 같은 통합이 포함되어 있습니다.

    표 1. Veracode Vulnerability Integration
    통합 설명
    v4.1부터: Veracode 프로젝트 통합 연결 이 통합은 기본적으로 활성화됩니다. 에서 각 애플리케이션에 대한 모든 관련 Veracode프로젝트를 검색합니다.
    응용 프로그램에는 Veracode 여러 개의 프로젝트가 있을 수 있습니다. 이 통합에서 임포트한 데이터는 다음 기록에 표시됩니다.
    • 마지막 SCA 검사 날짜, 앱 생성 날짜앱 업데이트 날짜검색된 애플리케이션의 기록에 나열됩니다.
    • 애플리케이션 취약성 검사 요약 기록 및 애플리케이션 취약한 항목(AVI)에 소스 SDLC 상태 (소프트웨어 개발 수명 주기)가 표시됩니다.
    • 소스 악용 가능성은 애플리케이션 취약한 항목(AVI) 기록에 표시됩니다.
    v4.0부터: Veracode 애플리케이션 목록 통합(JSON) 이 통합은 기본적으로 비활성 상태입니다. 애플리케이션 스캐너 데이터(취약성, 메타데이터)를 검색 Veracode 하고 애플리케이션 데이터를 보강합니다.

    JSON 기반 API를 Veracode 통해 스캔 기록을 검색합니다.
    v4.0부터: Veracode XML(Application List Integration) 이 통합은 기본적으로 비활성 상태입니다. 이 통합의 XML 기반 버전은 비활성화되었습니다(사용되지 않음). 애플리케이션 스캐너 데이터(취약성, 메타데이터)를 검색 Veracode 하고 애플리케이션 데이터를 보강합니다. 이 통합은 매일 00:00:00에 실행되도록 설정됩니다.
    주:
    JSON 기반 API는 Veracode 애플리케이션 목록을 검색하는 데 사용됩니다. 이 API는 이러한 애플리케이션에 대한 "마지막 정책 준수 확인 날짜"를 가져옵니다. 이는 에서 해당 애플리케이션을 마지막으로 검사 Veracode한 시기를 나타냅니다.
    v4.0부터: Veracode Software Bill of Materials (SBOM) 통합 이 통합은 기본적으로 활성화됩니다. 에 의해 Veracode 생성된 CycloneDX 형식으로 파일을 임포트 Software Bill of Materials 하고 인스턴스에서 구문 분석을 위해 큐에 넣습니다. 이 데이터를 임포트하여 보려면 애플리케이션이 설치되어 있어야 합니다 소프트웨어 자재 명세서 .
    v4.0부터: Veracode 검사 요약 통합(JSON)

    이 통합은 기본적으로 비활성 상태입니다. JSON 기반 API를 Veracode 통해 스캔 기록을 검색합니다. 이 통합은 XML 기반 API 통합을 대체합니다. 이는 체인으로 연결되어 있으며 활성화 시 애플리케이션 목록 통합을 따릅니다 Veracode .
    v4.0부터: Veracode 검사 요약(XML)

    이 통합은 기본적으로 비활성 상태입니다. 이 통합의 XML 기반 버전은 비활성화되었습니다(사용되지 않음). 에서 Veracode스캔 기록을 검색합니다. 이 통합은 체인으로 연결되며 활성화 시 애플리케이션 목록 통합을 따릅니다 Veracode .

    주:
    애플리케이션 목록 통합이 Veracode 활성화되면 자동으로 후속 조치입니다. 의 Veracode애플리케이션에 대한 "마지막 정책 준수 확인 날짜"를 사용하여 이 통합은 이 통합의 "delta_start_time" 후 스캔된 애플리케이션에 대한 데이터만 검색합니다.
    v4.0부터: Veracode 애플리케이션 취약 항목 JSON 통합

    이 통합은 기본적으로 비활성 상태입니다. 에서 XML 기반 통합 Veracode보다 취약성 데이터가 더 많은 검사 결과를 검색합니다. AVI를 삽입하고 타사 취약성 데이터를 보강합니다.
    v4.0부터: Veracode Application Vulnerable Item Integration(XML) 이 통합은 기본적으로 비활성 상태입니다. 에서 Veracode검사 결과를 검색하고, AVI를 삽입하고, 외부 공급업체 취약성 데이터를 보강합니다. 기본적으로 스캐너 기록이 종결 상태이면 AVI가 생성되지 않습니다. 기존 AVI는 여전히 업데이트됩니다.

    이 통합은 체인으로 연결되며 활성화되면 스캔 요약 통합을 따릅니다 Veracode . XML 기반 API는 검사 요약 JSON 통합에 Veracode 사용되지 않습니다.

    주:
    검사 요약 통합을 자동으로 따릅니다 Veracode . 의 Veracode애플리케이션에 대한 "마지막 정책 준수 확인 날짜"를 사용하여 이 통합은 이 통합의 "delta_start_time" 후 스캔된 애플리케이션에 대한 데이터만 검색합니다.
    v4.0부터: Veracode 범주 통합 이 통합은 기본적으로 비활성 상태입니다. 다음에서 Veracode향상된 범주 데이터를 검색합니다.
    v4.0부터: Veracode CWE 통합

    이 통합은 기본적으로 활성화됩니다. 위협 정보 및 정정 권장 사항에 대한 특정 CWE(Common Weakness Enumeration) 데이터를 검색합니다 Veracode . 이러한 데이터는 애플리케이션 취약성 항목 기록에 채워지고 업데이트됩니다.

    이 CWE 통합은 응용 프로그램에 대해 활성화하는 CWE Comprehensive 2000 통합의 예약된 작업과는 Vulnerability Response 독립적으로 작동합니다.

    CWE 통합 및 CWE Comprehensive 2000 통합이 활성화되어 있으면 Veracode 데이터가 중복되지 않습니다.
    v4.0부터: Veracode DevOps 통합 이 통합은 기본적으로 비활성 상태입니다. 통합은 의 Application Vulnerability Response애플리케이션 취약성 통합 목록에서 볼 수 있습니다. DevOps Change Velocity 라이선스가 있는 경우 이 기능은 DevOps 사용자가 타사 취약성 검사에 대한 요약 세부 정보를 보기 위해 SecOps 라이선스가 필요하지 않도록 구성되어 있습니다. 에 대한 영향이나 변경 Application Vulnerability Response사항은 없습니다.

    통합 실행 상태에 대해서는 을 Veracode 애플리케이션 취약성 통합 임포트 실행 상태 보기참조하십시오.

    제3자 취약성의 데이터를 보려면 을 참조하십시오 취약성 라이브러리 보기.