Fortify Vulnerability Integration 구성

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기5분

    • 인스턴스에서 통합을 실행하기 전에 설치 및 구성 단계를 완료 Fortify 하여 제품이 의 기능과 Vulnerability Response제대로 통합 Application Vulnerability Response 되도록 해야 합니다. 이 애플리케이션은 별도의 구독으로 사용할 수 있습니다.

    시작하기 전에

    필요한 역할: 애플리케이션 보안 관리자

    설치하기 전에 다음 설정 검사 목록을 완료합니다. 이러한 설정 작업은 원활한 설치 및 구성을 위해 필요합니다.

    주:
    이 프로세스는 프로덕션 인스턴스에 다운로드되는 애플리케이션에만 적용됩니다. 하위 프로덕션 또는 개발 인스턴스에 애플리케이션을 다운로드하는 경우에는 권리를 가져올 필요가 없습니다. 다음으로 애플리케이션 활성화 ServiceNow Store이동합니다.
    작업 설정 설명
    Vulnerability Response 애플리케이션이 설치되고 활성화되었는지 확인합니다.

    이 애플리케이션이 활성화되었는지 확인하려면 다음으로 이동하십시오. 구독 관리 > 구독 이용하십시오. 목록에 조직이 구매한 구독이 표시됩니다.

    응용 프로그램이 설치 및 활성화되지 않은 경우 을 참조하십시오 Vulnerability Response 설치.
    애플리케이션과의 Fortify 통합이 Vulnerability Response 설치되고 활성화되었는지 확인합니다.

    이 애플리케이션이 활성화되었는지 확인하려면 다음으로 이동하십시오. 구독 관리 > 구독 이용하십시오. 목록에 조직이 구매한 구독이 표시됩니다.

    응용 프로그램이 설치 및 활성화되지 않은 경우 을 참조하십시오 ServiceNow 와 Vulnerability Response 통합 설치Fortify.
    인스턴스에 필요한 ServiceNow 역할이 있는지 확인합니다. 다음 역할은 예상 결과의 설치, 구성 및 검증에 필요합니다.
    • 아직 할당되지 않은 경우 시스템 관리자[admin]가 앱을 설치하고 사용자를 App-Sec 관리자 그룹에 할당합니다.
    • App-Sec 관리자는 구성을 감독하고 예상 결과를 확인합니다.

    Fortify Vulnerability Integration경우 API IDAPI 키를 준비합니다.

    API IDAPI 키를 얻으려면 문의하십시오Fortify.

    프로시저

    1. 애플리케이션 취약성 통합을 설치 Fortify 하려는 인스턴스에 로그인합니다.
    2. ServiceNow Store로 이동합니다.
    3. 에서 ServiceNow Store애플리케이션과의 Vulnerability ResponseFortify 통합을 검색합니다.
    4. 애플리케이션 타일을 클릭합니다.
      설치 중인 애플리케이션에 대한 자세한 정보가 표시됩니다.
      주:
      해당하는 경우 다른 요구 사항종속성 섹션을 읽어보십시오.
    5. 앱 요청을 클릭하고 Now Support 로그인 자격 증명을 입력합니다.
    6. 가져오기를 클릭합니다.
    7. 인스턴스 이름인스턴스 이유를 입력하고 인스턴스 확인을 클릭합니다.
    8. 요청을 클릭합니다.
      자세한 설치 지침이 포함된 이메일을 받게 됩니다.
    9. 다음으로 이동 시스템 애플리케이션 > 애플리케이션레이블이 표시됩니다.
    10. 애플리케이션을 찾아서 선택한 다음 설치를 클릭합니다.
      애플리케이션이 인스턴스에 자동으로 설치됩니다.
    11. 설치가 완료되면 다음으로 이동합니다. Fortify 취약성 통합 > FoD 구성레이블이 표시됩니다.
    12. 양식의 필드에 내용을 입력합니다.
      표 1. Fortify on Demand 구성 양식
      필드 설명
      API 루트 URL 사용자의 Fortify 인스턴스 URL입니다.
      API 키 API로 전송되는 고유 식별자입니다 Fortify .
      API 비밀 에서 제공하는 클라이언트 비밀입니다 Fortify.
      DAST 포함 DAST 검사의 취약성을 포함하는 옵션입니다. DAST 스캔은 전체 애플리케이션의 동작에서 취약성을 식별합니다.
      SAST 포함 SAST 검사의 취약성을 포함하는 옵션입니다. SAST 검사는 코드의 취약성을 식별합니다.
      ServiceNow의 예외 및 긍정 오류 분류(Vulnerability Response v20.0부터) 임포트 시 워크플로우를 사용하여 ServiceNow AVI에 대한 예외 관리 및 긍정 오류를 자동으로 관리하는 옵션을 선택합니다. 이러한 옵션은 기본적으로 활성화됩니다. 사용 사례의 예는 을 참조하십시오 에서 지연 및 긍정 오류에 대한 상태 매핑 관리 Application Vulnerability Response.
      에서 예외 관리 ServiceNow
      연기됨 상태로 표시된 가져온 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      일반적으로 인스턴스에서 지연됨 상태로 매핑되는 소스 상태가 있는 AVI는 대신 Open에 매핑됩니다.

      AVI 기록에서 예외를 요청합니다 .

      에서 긍정 오류 관리 ServiceNow
      소스 상태가 긍정 오류 또는 잠재적 긍정 오류로 표시된 가져온 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      일반적으로 인스턴스의 종결 상태로 매핑되는 이러한 소스 상태가 있는 AVI는 오픈에 매핑됩니다.

      AVI 기록에서 긍정 오류를 요청합니다.
      • 검사기에서 가져온 소스 상태를 유지하려면 확인란 중 하나 또는 둘 다를 비활성화합니다.
      • 이러한 AVI는 임포트될 때 대상 상태 및 대상 이유 상태에 매핑되지만 예외 및 긍정 오류 워크플로우에 의해 분류되지 않습니다. 예외 요청긍정 오류 작업은 AVI에 표시되지 않습니다.
      ServiceNow의 분류(Vulnerability Response v20.0 이전) 다음 인스턴스에서 애플리케이션 취약성 분류를 관리합니다.ServiceNow
      • 내에서 ServiceNowAVI를 분류하려면 확인란을 선택합니다. 이 옵션을 선택하면 AVI가 열림 상태로 임포트됩니다. 그런 다음 예외를 요청하거나 AVI를 오탐으로 표시할 수 있습니다.
      • 소스 상태, 즉 스캐너에서 가져온 상태를 유지하려면 이 확인란을 선택하지 않아야 합니다.
      주:
      다음 긍정 오류로 표시예외 요청 옵션은 에서 ServiceNow분류 중인 AVI에만 사용할 수 있습니다.
    13. 자격 증명 저장 및 테스트를 선택합니다.

    다음에 수행할 작업

    환경에 도메인 분리 가져오기가 필요한 경우 을 참조하십시오 통합을 위해 도메인 분리된 임포트 생성.

    초기 설치 시 자세한 지침은 을 참조하십시오 Application Vulnerability Response 구성 .

    초기 설치 후 수정에 대해서는 다음을 Fortify Vulnerability Integration 수정 및 활동참조하십시오.