Integração de Resposta a vulnerabilidades com Veracode
. Resposta a vulnerabilidades Integração com Veracode a aplicação usa dados importados do Veracode produto para ajudar você a determinar o impacto e a prioridade de falhas em seu código.
Integração de Resposta a vulnerabilidades com Veracode
. Veracode O produto coleta testes dinâmicos de segurança de aplicações (DAST), testes estáticos de segurança de aplicações (SAST) e dados do scanner manual e disponibiliza esses dados para o. ServiceNow AI Platform®. Ele se integra facilmente ao Resposta a vulnerabilidades de aplicações recurso de Resposta a vulnerabilidades mapear vulnerabilidades de terceiros que enriquecem os dados em sua instância.
A partir da v19.0 de Resposta a vulnerabilidades, Você pode importar vulnerabilidades da Análise de composição de software (SCA) e Lista de materiais de software( SBOM) dados de vulnerabilidade para ajudá-lo a identificar pontos fracos em seus aplicativos de software. Para obter mais informações, consulte Explorando Lista de materiais de software.
Uma API compartilhada ingesta dados DAST, SAST, SCA e resultados de testes de invasão manuais.
Há um usuário de execução configurado para cada registro de integração. O valor padrão para este usuário é VR.System . Não mude este valor.
Todos os dias, os trabalhos agendados invocam as integrações automaticamente na ordem em que são listadas. Você também pode executar trabalhos agendados individuais manualmente. Os trabalhos agendados simplificam o ciclo de vida da correção de vulnerabilidades, mantendo a instância sincronizada com outros sistemas de gestão de vulnerabilidades.
Obtenha mais detalhes de Veracode
A partir da v4.2, selecione Obter mais detalhes Itens vulneráveis à aplicação (AVITs) que têm Veracode Como a Origem na tabela Item vulnerável à aplicação [sn_vul_app_vulnerable_item] ou nas exibições de lista nos Espaços de resposta a vulnerabilidades para exibir o seguinte Veracode dados.
- Os detalhes da solicitação de origem HTTP e da resposta de origem para verificações do Teste de segurança da aplicação dinâmico (Dynamic Application Security Testing, DAST) são exibidos na lista relacionada Solicitação/resposta HTTP.
- As recomendações de solução de Veracode são exibidas na lista relacionada Descobertas.
- Solicitação de origem HTTP, Resposta de origem e Recomendações são exibidas na guia Detalhes na Resposta a vulnerabilidades Resposta a vulnerabilidades espaços de trabalho.
- A coluna Descrição é compatível com a tabela Item vulnerável da aplicação [sn_vul_app_vulnerable_item].
Versões disponíveis
| Versão de lançamento | Notas da versão |
|---|---|
| Veracode v4.3 Veracode v4.2 Veracode v4.1 |
Application Vulnerability Response release notes Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão |
Grupo de usuários e funções
. Integração de Resposta a vulnerabilidades com VeracodeÉ instalado por um administrador do sistema [admin] e configurado por um membro do grupo Gerenciador da App-Sec. Para obter mais informações, consulte Resposta a vulnerabilidades de aplicações grupos de usuários e funções.
Integração de Resposta a vulnerabilidades com Veracode
Para exibir o. Veracode integrações de vulnerabilidades, navegue até .
As integrações a seguir estão incluídas no sistema de base.
| Integração | Descrição |
|---|---|
| A partir da v4.1: Veracode Vincular integração de projetos | Esta integração é ativada por padrão. Recupera todos os projetos associados para cada aplicação de Veracode. As aplicações podem ter vários projetos no Veracode aplicação. Os dados importados desta integração são exibidos nos seguintes registros:
|
| Veracode Integração da lista de aplicações (JSON) | Esta integração está inativa por padrão. Recupera Veracode dados do scanner de aplicações (vulnerabilidades, metadados) e enriquece os dados da aplicação. Recupera registros de verificação de Veracode Por meio de uma API baseada em JSON. |
| Veracode Integração da lista de aplicações (XML) | Esta integração está inativa por padrão. A versão baseada em XML desta integração foi desativada (descontinuada). Recupera Veracode dados do scanner de aplicações (vulnerabilidades, metadados) e enriquece os dados da aplicação. Esta integração está definida para ser executada diariamente às 00:00:00. Nota: Uma API baseada em JSON de Veracodeé usado para recuperar a lista de aplicações. Esta API importa a "data da última verificação de conformidade da política" para essas aplicações, o que significa quando essas aplicações foram verificadas pela última vez por Veracode. |
| Veracode Lista de materiais de software( SBOM Integração | Versão 4,3 do Integração de Resposta a vulnerabilidades com Veracode o inclui os seguintes aprimoramentos com Veracode SBOM arquivos:
Esta integração é ativada por padrão. A partir de v4.2, importações Lista de materiais de software Arquivos nos formatos CycloneDX e SPDX gerados por Veracode e os coloca na fila para análise em sua instância. . Você deve ter Lista de materiais de software aplicações instaladas para importar esses dados e exibi-los. |
| Veracode Integração de resumo de verificação (JSON) |
Esta integração está inativa por padrão. Recupera registros de verificação de Veracode Por meio de uma API baseada em JSON. Esta integração substitui a integração de API baseada em XML. Ele é acorrentado e segue o. Veracode Integração da lista de aplicações quando ativado. |
| Veracode Resumo da verificação (XML) |
Esta integração está inativa por padrão. A versão baseada em XML desta integração foi desativada (descontinuada). Recupera registros de verificação de Veracode. Esta integração é encadeada e segue o. Veracode Integração da lista de aplicações quando ativado. Nota:
Segue automaticamente o. Veracode Integração da Lista de aplicações quando ativada. "Data da última verificação de conformidade da política" para as aplicações de Veracode esta integração recupera dados somente das aplicações que foram verificadas após o "delta_start_time" desta integração. |
| Veracode Integração JSON de item vulnerável da aplicação |
A partir da v4.2, exiba detalhes como tempos totais de processamento, tempos médios para processos de execução de pré e pós-integração e relatórios sobre os registros de execução de integração para as integrações de item vulnerável da aplicação. Esta integração está inativa por padrão. Recupera resultados da verificação com mais dados de vulnerabilidade do que a integração baseada em XML do Veracode. Ele insere Avis e enriquece seus dados de vulnerabilidade de terceiros. |
| Veracode Integração de item vulnerável da aplicação (XML) |
A partir da v4.2, exiba detalhes como tempos totais de processamento, tempos médios para processos de execução de pré e pós-integração e relatórios sobre os registros de execução de integração para as integrações de item vulnerável da aplicação. Esta integração está inativa por padrão. Recupera os resultados da verificação de Veracode Insere itens vulneráveis à aplicação (AVITs) e enriquece seus dados de vulnerabilidade de terceiros. Por padrão, se o registro do scanner estiver em Encerrado AVITs não foram criados. AVITs existentes ainda estão atualizados. Esta integração é encadeada e segue o. Veracode Integração do resumo da verificação quando ativada. A API baseada em XML foi descontinuada para Veracode Integração JSON do resumo da verificação. Nota: Segue automaticamente o. Veracode Integração do resumo da verificação. "Data da última verificação de conformidade da política" para as aplicações de Veracode esta integração recupera dados somente das aplicações que foram verificadas após o "delta_start_time" desta integração. |
| Veracode Integração de categorias | Esta integração está inativa por padrão. Recupera dados de Categorias aprimorados de Veracode. |
| Veracode Integração do CWE |
Esta integração é ativada por padrão. Recupera Veracode- Dados de enumeração de pontos fracos comuns (CWE) específicos para informações de ameaças e recomendações de correção. Esses dados são preenchidos e atualizados nos registros de entrada de vulnerabilidade da aplicação. Esta integração do CWE opera independentemente do trabalho agendado para a Integração abrangente do CWE 2000 que você ativa para Resposta a vulnerabilidades aplicação. Seus dados não serão duplicados se você tiver Veracode Integração do CWE e a Integração abrangente do CWE 2000 ativadas. |
| Veracode Integração do DevOps | Esta integração está inativa por padrão. A integração pode ser visualizada na lista Integrações de vulnerabilidades da aplicação em Resposta a vulnerabilidades de aplicações. Se você tiver uma licença do DevOps Change Velocity, esse recurso será estruturado para que os usuários do DevOps não precisem de uma licença SecOps para exibir detalhes resumidos de verificações de vulnerabilidades de terceiros. Não há impacto ou mudança para Resposta a vulnerabilidades de aplicações. |
Para obter os status de execução de integração, consulte, Exiba Veracode Status da execução de importação da Integração de vulnerabilidades da aplicação.
Para exibir dados em vulnerabilidades de terceiros, consulte Exibir bibliotecas de vulnerabilidades.