アプリケーション脆弱性対応 リリースノート

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • このServiceNow® アプリケーション脆弱性対応アプリケーションは、セキュリティと IT を統合し、最も重大な脆弱性をより迅速かつ効率的に修正できるようにします。 はアプリケーションの一部として脆弱性対応含まれています。 アプリケーション脆弱性対応バージョン v21.0 の アプリケーション脆弱性対応 リリースで Washington DC 拡張および更新されました。

    Washington DC リリースでの アプリケーション脆弱性対応 の特長

    • 新しい Vulnerability Manager Workspace ランディングページの [アプリケーションの脆弱性] タブで、アクティブなアプリケーションの脆弱性をすべてまたは事前にフィルタリングして視覚化して、アクティブなアプリケーションの脆弱性の全体的な概要を取得します。
    • Invicti脆弱性統合を使用して、インタラクティブアプリケーションセキュリティテスト(IAST)および動的アプリケーションセキュリティテスト(DAST)データをインポートします。

    詳細を参照してくださいApplication Vulnerability Response。 詳細を参照してください。

    重要:
    アプリケーション脆弱性対応 は、ServiceNow Store で入手可能です。詳細については、これらのリリースノートの「アクティベーション情報」セクションを参照してください。

    Washington DC リリースの新機能

    脆弱性マネージャーワークスペースでの脆弱性の状況の分析
    のホームページ Vulnerability Manager Workspaceでリスク評価、修正の進捗状況、アサイン先グループの作業負荷、および修復タスクのレコードを視覚的に表示して、アクティブなアプリケーションの脆弱性の全体的な概要を取得します。
    フィルターを使用した一連のアプリケーション脆弱性のサマリーの取得
    のホームページ Vulnerability Manager Workspaceでこれらの脆弱性をフィルタリングすることで、アクティブなアプリケーションの脆弱性のサマリーを取得します。
    Define Vulnerability Response email notifications
    メール通知でリンクがクリックされると、ユーザーのロール内 Vulnerability Manager Workspace または IT 修復ワークスペース ロールに基づいてレコードが開きます。
    Invicti Vulnerability Integration
    Invicti脆弱性統合を使用して、インタラクティブアプリケーションセキュリティテスト(IAST)および動的アプリケーションセキュリティテスト(DAST)データをインポートします。このデータにより、カスタムソフトウェアアプリケーションの欠陥の影響度と優先度を判断できます。次の Invicti 統合を使用して、脆弱性データを拡張します。
    • Invictiアプリケーションリストアプリケーション:Invictiによってスキャンされたアプリケーションをインポートします。
    • Invicti スキャンリスト統合 - スキャンが実行された日時に関するデータをインポートします。
    • Invicti アプリケーション脆弱性一致アイテム統合 - Invicti 脆弱性一致アイテムデータをインポートします。
    Veracode を使用したソフトウェア部品表 (SBOM) ファイルのインポート
    専用の Veracode API を使用して CycloneDx JSON 形式の SBOM ファイルをアップロードします。ソフトウェア プロジェクトで使用しているコンポーネントと、それらのリリース、バージョン、および関連する脆弱性に関する情報を特定します。この統合により、SBOM が CycloneDx JSON 形式で生成され、解析のためにインスタンスにアップロードされます。ソフトウェア部品表アプリケーションが必要です。詳細については、「 ServiceNow ソフトウェア部品表アプリケーション」を参照してください。
    Software Bill of Materials
    ソフトウェア部品表 (SBOM) 製品でサポートされているアプリケーションに次の機能拡張が行われました。
    • OSV.dev 統合の PURL 検証が追加されました。無効な PURL は、ファイル処理中に無視されます。
    • 利用可能な場合は、OSV.dev 修正バージョン情報が AVIT レコードの関連リストに表示されます。
    • SBOM アプリケーション脆弱性一致アイテム (AVIT) は、拡張 SBOM ワークスペースビューにコンポーネント情報を表示します。
    • SBOM ワークスペースで SBOM AVIT の無効化された修復タスクルール。SBOM 脆弱性対応AVIT のルールは、 の脆弱性マネージャーワークスペースで編集できます。
    • 拡張された SBOM ワークスペースアクセス権により、SBOM Core アプリケーションで SBOM インベントリを表示できます。
    Reapplying CI Lookup rules in Application Vulnerability Response
    構成アイテム (CI) ルックアップルールを再適用して、スキャンされたアプリケーションおよび製品モデルの既存の CI を更新します。
    手動での修復タスクの作成
    [グループ設定] タブの修復タスクレコードから、アプリケーション脆弱性一致アイテム (AVIT) の修復タスク (AVUL) を手動で作成します。
    誤検出および例外要求に関する通知
    承認ルールに承認有効期限とリマインダーの日付を設定することで、誤検出および例外要求の変更承認レコードに関する通知とリマインダーを受信します。
    アプリケーション脆弱性対応 用の Quick start tests

    新しいアプリケーションまたは統合のアップグレードと展開が完了したら、クイックスタートテストを実行して、アプリケーション脆弱性対応 が想定どおりに機能していることを確認します。アプリケーション脆弱性対応 をカスタマイズした場合は、クイックスタートテストをコピーし、カスタマイズのために設定します。

    アクティベーション情報

    から要求脆弱性対応ServiceNow Storeしてインストールアプリケーション脆弱性対応します。アプリケーションは脆弱性対応アプリケーションの一部として含まれています。 アプリケーション脆弱性対応 ServiceNow Store Web サイトにアクセスして利用可能なすべてのアプリを表示し、ストアにリクエストを送信する方法について確認してください。リリースされたすべてのアプリのリリースノート情報については、「ServiceNow Storeバージョン履歴のリリースノート」を参照してください。