Vulnerability Response Integration mit Veracode Versionshinweisen

  • Freigeben Version: Store
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer

    • Versionsverlauf für die Vulnerability Response -Integration mit Veracode auf dem ServiceNow Store.

    Wichtig:
    Weitere Informationen zu Systemanforderungen und Familienkompatibilität finden Sie in der Anwendungsliste auf der Website des ServiceNow Store.

    Versionsverlauf

    Version 2.12.2 – Februar 2025
    • Geändert: Sie können jetzt das genaue Datum und die Uhrzeit anzeigen, wann ein angreifbares Element in einem Container (Container Vulnerable Item, CVIT) zuerst erkannt, zuletzt geöffnet, gelöst und zuletzt gefunden wurde. So sorgen Sie für Übersichtlichkeit und berücksichtigen verschiedene Zeitzonen.
    • Behoben: Die UI-Aktionen und Validierungen im CVIT-Formular werden jetzt konsistent mit dem aktuellen Status ausgerichtet.
    Version 4.5.1 – November 2024
    • Behoben:
      • Korrektur bereitgestellt für Datenabweichung bei Scan-Updates von SCA-Ergebnissen (Software Composition Analysis).
      • Fehlerbehandlungskorrektur, um Wiederholungs- und Überspringungsfehler speziell für Veracode-Link-Projekte und Veracode SBOM-Integrationen zu beheben. Um gelöschte Anwendungen für diese beiden Integrationen zu unterstützen, können Benutzer 403- und 404-Fehler überspringen und 50x-Fehler wiederholen.
    • Geändert:
      • Sie können den Scan auswählen, der bei den endgültigen Aktualisierungen für aus Veracode importierte SCA-Ergebnisdaten Vorrang hat. Auf der Veracode-Konfigurationsseite ist „Standard“ der festgelegte Wert, bis Sie ihn ändern. Sie müssen das Kontrollkästchen „SCA-Ergebnisse einbeziehen“ aktivieren und eines aus der Liste auswählen:
        • Service Desk-Mitarbeiter: Die Scan-Ergebnisse des Service Desk-Mitarbeiters nehmen die endgültige Aktualisierung der SCA-Ergebnisse vor
        • Hochladen: Die Ergebnisse des Uploads nehmen die endgültige Aktualisierung der SCA-Ergebnisse vor
        • Standard: Der zuletzt verarbeitete Scan, entweder der Agent- oder der Upload-Scan, nimmt die endgültigen Aktualisierungen der SCA-Ergebnisse vor
    • Hinweis: Wenn Sie das Kontrollkästchen „SCA-Ergebnisse einbeziehen“ auf der Konfigurationsseite nicht aktivieren, wird der aus der Liste ausgewählte Scan nicht verwendet, und der letzte verarbeitete Scan nimmt die endgültigen Aktualisierungen vor.
    • Unterstützung für das Hinzufügen und Löschen von Anwendungen, die aus der Now Platform importiert wurden.
    • Legen Sie den Wert für die Systemeigenschaft [sn-vul-veracode.app-mark-unseen-apps-inactive] auf „wahr“ fest, um Fehler zu vermeiden, wenn die Plattform Anwendungen anfordert, die bereits von Veracode gelöscht wurden. Wenn diese Eigenschaft auf „wahr“ festgelegt (aktiviert) ist, markiert der erfolgreiche Import der Integration der Anwendungsliste alle nicht sichtbaren Anwendungen in der Plattform als „inaktiv“.
    Version 4.4.2 – Oktober 2024
    • Korrektur bereitgestellt für Datenabweichung für Scan-Updates von SCA-Ergebnissen (Software Composition Analysis) bereitgestellt.
    • Sie können den Scan auswählen, der bei den endgültigen Aktualisierungen für aus Veracode importierte SCA-Ergebnisdaten Vorrang hat. Auf der Veracode-Konfigurationsseite ist „Standard“ der festgelegte Wert, bis Sie ihn ändern. Sie müssen das Kontrollkästchen SCA-Ergebnisse einbeziehen aktivieren und eines aus der Liste auswählen:
      • Service Desk-Mitarbeiter: Die Ergebnisse des Mitarbeiterscans nehmen die endgültigen Aktualisierungen der SCA-Ergebnisse vor
      • Hochladen: Die Ergebnisse des Upload-Scans nehmen die endgültige Aktualisierung der SCA-Ergebnisse vor
      • Standard: Der zuletzt verarbeitete Scan, entweder der Agent- oder der Upload-Scan, nimmt die endgültigen Aktualisierungen der SCA-Ergebnisse vor
    • Hinweis: Wenn Sie das Kontrollkästchen SCA-Ergebnisse einschließen auf der Konfigurationsseite nicht aktivieren, wird der aus der Liste ausgewählte Scan nicht verwendet, und der letzte verarbeitete Scan nimmt die endgültigen Aktualisierungen vor.
    • Unterstützt das Hinzufügen und Löschen von Anwendungen von Veracode, die aus der Now Platform importiert wurden.
      • Legen Sie den Wert für die Systemeigenschaft [sn-vul-veracode.app-mark-unseen-apps-inactive] auf „wahr“ fest, um Fehler zu vermeiden, wenn die Plattform Anwendungen anfordert, die bereits von Veracode gelöscht wurden. Wenn diese Eigenschaft auf „wahr“ festgelegt (aktiviert) ist, markiert der erfolgreiche Import der Integration der Anwendungsliste alle nicht sichtbaren Anwendungen in der Plattform als „inaktiv“.
    • Fehlerbehandlungskorrektur, um Wiederholungs- und Überspringungsfehler speziell für Veracode-Link-Projekte und Veracode SBOM-Integrationen zu beheben. Um gelöschte Anwendungen für diese beiden Integrationen zu unterstützen, können Benutzer 403- und 404-Fehler überspringen und 50x-Fehler wiederholen.
    Version 4.3.3 von August 2024
    • Neu:
      • Verbesserungen an der Konfigurationsseite der Veracode-Schwachstellenintegration:
        • API-Regions- und API-Zeitüberschreitungsparameter werden unterstützt.
        • Wenn Sie SBOM Response installiert haben, können Sie von Veracode gefundene Schwachstellen in die von Ihnen hochgeladenen SBOM-Dateien einbeziehen.
      • „Vericode“ wird dem Feld Quelle für Datensätze in der Tabelle „Stückliste“ [sn_sbom_doc] für die von Ihnen hochgeladenen Veracode-SBOM-Dateien zugeordnet.
    • Behoben:
      • Änderungen an der Datenzuordnung zur Unterstützung der folgenden Verbesserungen:
        • Die Felder Datum der Lösung in der Quelle und Zuletzt gefunden werden für angreifbare Elemente in der Anwendung (Application Vulnerable Items, AVITs) ausgefüllt.
        • Die Filterfunktion für die Attribute der Zusätzlichen Quellinformationen behält die Schlüssel-Wert-Paare in einem Zeichenfolgenfeld bei.
    Version 4.2.7 – Juni 2024
    Neu: Das automatische Schließen von angreifbaren Anwendungselementen wird für die Veracode-Integrationen unterstützt.
    Version 4.2.4 – Mai 2024
    • Neu:
      • Wählen Sie für Veracode Application Vulnerable Items (AVITs) in der Tabelle für angreifbare Elemente der Anwendung (sn_vul_app_vulnerable_item) oder in den Listenansichten in Vulnerability Response-Arbeitsbereichen „Weitere Details abrufen“, um Veracode-AVITs mit den folgenden Informationen aus Veracode zu aktualisieren:
        • Details zur HTTP-Quellanforderung und Quellantwort für DAST-Scans werden in der zugehörigen Liste „HTTP-Anforderung/Antwort“ angezeigt.
        • Lösungsempfehlungen von Veracode werden in der zugehörigen Liste „Ergebnisse“ angezeigt.
        • In den Vulnerability Response-Arbeitsbereichen können Sie auf der Registerkarte „Details“ die HTTP-Quellanforderung, die Quellantwort und Empfehlungen anzeigen.
        • Die Spalte „Beschreibung“ wird in der Tabelle „Angreifbares Anwendungselement“ (sn_vul_app_vulnerable_item) unterstützt.
      • Zeigen Sie Details wie Gesamtverarbeitungszeiten, durchschnittliche Zeiten für Prozesse vor und nach der Integration und Berichte zu den Datensätzen der Integrationsausführung an.
    Version 4.1.11 – März 2024
    Behoben: Geschäftsanwendungsreferenzen werden mithilfe von erkannten Anwendungsdaten während der Ausführung der SBOM-Integration (Veracode Software Bill of Material) aufgelöst und wie erwartet den Stücklistenentitäten zugeordnet.
    Version 4.1.8 – Februar 2024
    • Neu:
      • Sie können Ihre Suchregeln für Configuration Item (CI) erneut anwenden, um vorhandene CIs (gescannte Anwendungen und Produktmodelle) zu aktualisieren.
      • Erstellen Sie manuell Korrekturaufgaben (AVULs) für angreifbare Elemente in der Anwendung (Application Vulnerable Items, AVITs) aus Korrekturaufgaben-Datensätzen auf der Registerkarte „Gruppenkonfiguration“.
    • Behoben:
      • Durch Erweiterungen des Datensatzes für angreifbare Elemente der Anwendung (AVIT) können Sie Folgendes anzeigen:
        • Informationen zu Abhängigkeit und Korrekturmaßnahme.
        • Schwachstellenwerte wie erwartet ausgefüllt.
    Version 4.1.6 – Dezember 2023
    Behoben: Datensätze können in der Tabelle der Veracode-Link-Projekte nicht manuell erstellt werden. Führen Sie die Integration von Veracode-Link-Projekten aus, um die Daten abzurufen.
    Version 4.1.3 – November 2023

    Neu:

    • Neu:
      • Mit einem Filterparameter auf der Konfigurationsseite können Sie nur Datensätze auflisten, die den von Veracode bereitgestellten Schweregradwerten entsprechen. Sie können dem Filter mehrere Schweregradwerte hinzufügen.
      • Die Pufferzeit ist ein konfigurierbarer Parameter mit der Systemeigenschaft sn_vul_veracode.import_starttime_buffer. Der Puffer in Stunden wird von der Startzeit (delta_start_time) subtrahiert. Der Scanner erhält Ergebnisse zur neuen abgeleiteten Delta-Startzeit.
      • Über die Optionen Ausnahmen in ServiceNow verwalten und Falsch positive Ergebnisse in ServiceNow verwalten auf der Veracode-Konfigurationsseite können Sie bei der Selektierung Ihrer importierten Anwendungsschwachstellen mit ServiceNow-Workflows unterstützen. Diese Optionen sind standardmäßig aktiviert.
        • Verwalten Sie Ausnahmen in angreifbaren Elementen der ServiceNow-Selektierung mit dem Ausnahmeverwaltungs-Workflow von ServiceNow. AVIs wechseln in den Status Offen, und Sie fordern Ausnahmen von AVI-Datensätzen an. Deaktivieren Sie die Option, um die Quellstatus für aus Veracode importierte AVIs beizubehalten.
        • Verwalten Sie falsch positive Meldungen in ServiceNow mit dem ServiceNow-Workflow Falsch positiv. AVIs wechseln in den Status Öffnen, und Sie fordern falsch positive Meldungen aus AVI-Datensätzen an. Deaktivieren Sie die Option, um die Quellstatus für aus Veracode importierte AVIs beizubehalten.
    • Geändert: Mehr unterstützte Kombinationen für die Statuszuordnung ermöglichen es dem System, Scanner-Importe den zugehörigen Status in Ihrer Instanz basierend auf Ihren Selektierungseinstellungen für Ausnahmen in ServiceNow verwalten und falsch positive Ergebnisse in ServiceNow zuzuordnen.
    • Korrigiert: Felder für die Daten der Quelle für eine AVI-ID werden zusammen mit der Kombination aus Anwendungs-ID, Komponenten-ID und CVE-ID wie erwartet in Feldern ausgefüllt. Daten werden für verknüpfte SCA-Projekte und Exploit-Punktzahlen der Quelle gespeichert.
    Version 4.0.4 – September 2023
    Behoben: Die Veracode-Reporting-API unterstützt Anforderungen für sechs Monate. Die Integration für angreifbare Elemente importiert für das Datum „Importieren seit“ wie erwartet Daten für ein Sechs-Monats-Fenster.
    Version 4.0.3 – August 2023
    Neu:
    • Die folgenden Integrationen wurden hinzugefügt, um Daten über eine JSON REST API zu importieren: Veracode-Anwendungsliste, Veracode-Scan-Zusammenfassung, Angreifbares Anwendungselement. Die Versionen dieser Integrationen, die eine XML-basierte API verwendet haben, sind veraltet.
    • Die Veracode-Kategorieintegration importiert „Kategorie“-Daten.
    • Veracode-Integrationen unterstützen den Import von SCA-Schwachstellen (Software Composition Analysis).
    • Der Import von manuellen Veracode-Penetrationstestergebnissen wird unterstützt. Diese Testergebnisse sind manuelle Ergebnisse aus Veracode, die Sie für den Import in die Integrationsinstanz konfigurieren. Sie sind nicht mit den Testbewertungen verknüpft, die Sie in Application Vulnerability Response anfordern.
    • Die Veracode-CWE-Integration importiert Bedrohungsinformationen und Problembehebungsempfehlungen für Veracode-Schwachstellen. Ihre Schwachstellendaten werden nicht dupliziert, wenn Sie diese Integration und die umfassende CWE-Integration in Vulnerability Response aktiviert haben.
    • Die SBOM-Integration (Software Bill of Material) von Veracode importiert SBOMs aus Veracode im JSON-Format „CycloneDX“. Sie müssen die im ServicNow Store verfügbaren SBOM-Anwendungen installieren, um SBOM-Daten zu analysieren und anzuzeigen.
    • Die Veracode DevOps-Integration ermöglicht es Anwendern mit der DevOps Change Velocity-Lizenz, Scan-Zusammenfassungen von Drittparteien aus Security Operations in DevOps anzuzeigen. Diese Integration ist in der Tabelle „Schwachstellenintegrationen“ [sn_vul_integration_list] aufgeführt, hat jedoch keine Auswirkungen auf Application Vulnerability Response.
    • Auf der Registerkarte Integrationsinstanzparameter können Sie die folgenden Parameter konfigurieren:
      • Manueller Import: Zum Importieren manueller Penetrationstestergebnisse aus Veracode.
      • import_sca: SCA-Schwachstellen importieren.
      • Status – Datensätze im Status „Offen“ oder „Geschlossen“ importieren. Wenn Sie dieses Feld leer lassen, importieren Sie Datensätze für beide Status.
      • policy_sandbox: Geben Sie „policy“ oder „sandbox“ ein, um Ergebnisse aus Ihren Testumgebungen zu importieren.
      • policy_rule_passed: Datensätze importieren, die eine Richtlinienregel (wahr) bestanden haben.
    • Verwenden Sie in der Tabelle „Zusammenfassungen von Anwendungsschwachstellen-Scan“ [sn_vul_app_vul_scan_summary] das Konfigurationssymbol (Zahnrad), um Daten für neue Spalten anzuzeigen.
    Version 4.0.3 – August 2023 (Vancouver)
    Neu:
    • Die folgenden Integrationen wurden hinzugefügt, um Daten über eine JSON REST API zu importieren: Veracode-Anwendungsliste, Veracode-Scan-Zusammenfassung, Angreifbares Anwendungselement. Die Versionen dieser Integrationen, die eine XML-basierte API verwendet haben, sind veraltet.
    • Die Veracode-Kategorieintegration importiert „Kategorie“-Daten.
    • Veracode-Integrationen unterstützen den Import von SCA-Schwachstellen (Software Composition Analysis).
    • Der Import von manuellen Veracode-Penetrationstestergebnissen wird unterstützt. Diese Testergebnisse sind manuelle Ergebnisse aus Veracode, die Sie für den Import in die Integrationsinstanz konfigurieren. Sie sind nicht mit den Testbewertungen verknüpft, die Sie in Application Vulnerability Response anfordern.
    • Die Veracode-CWE-Integration importiert Bedrohungsinformationen und Problembehebungsempfehlungen für Veracode-Schwachstellen. Ihre Schwachstellendaten werden nicht dupliziert, wenn Sie diese Integration und die umfassende CWE-Integration in Vulnerability Response aktiviert haben.
    • Die SBOM-Integration (Software Bill of Material) von Veracode importiert SBOMs aus Veracode im JSON-Format „CycloneDX“. Sie müssen die im ServicNow Store verfügbaren SBOM-Anwendungen installieren, um SBOM-Daten zu analysieren und anzuzeigen.
    • Die Veracode DevOps-Integration ermöglicht es Anwendern mit der DevOps Change Velocity-Lizenz, Scan-Zusammenfassungen von Drittparteien aus Security Operations in DevOps anzuzeigen. Diese Integration ist in der Tabelle „Schwachstellenintegrationen“ [sn_vul_integration_list] aufgeführt, hat jedoch keine Auswirkungen auf Application Vulnerability Response.
    • Auf der Registerkarte Integrationsinstanzparameter können Sie die folgenden Parameter konfigurieren:
      • Manueller Import: Zum Importieren manueller Penetrationstestergebnisse aus Veracode.
      • import_sca: SCA-Schwachstellen importieren.
      • Status – Datensätze im Status „Offen“ oder „Geschlossen“ importieren. Wenn Sie dieses Feld leer lassen, importieren Sie Datensätze für beide Status.
      • policy_sandbox: Geben Sie „policy“ oder „sandbox“ ein, um Ergebnisse aus Ihren Testumgebungen zu importieren.
      • policy_rule_passed: Datensätze importieren, die eine Richtlinienregel (wahr) bestanden haben.
    • Verwenden Sie in der Tabelle „Zusammenfassungen von Anwendungsschwachstellen-Scan“ [sn_vul_app_vul_scan_summary] das Konfigurationssymbol (Zahnrad), um Daten für neue Spalten anzuzeigen.
    Version 3.5.0 – Februar 2023
    Behoben: Die Paginierungsprobleme im Zusammenhang mit der JSON-Integration der Veracode-Anwendungsliste wurden behoben.
    Version 3.4.0 – November 2022
    • Neu: Einführung einer neuen Integration, Veracode-Anwendungsliste JSON-Integration, die Unterstützung für die Delta-Erfassung bietet.
    • Geändert: Sie können jetzt Anwendungsschwachstellen und die Scan-Zusammenfassung nur aus den Anwendungen abrufen, die seit dem letzten Import seit dem Datum gescannt wurden.
    Version 3.3.0 – März 2022
    Neu: Option zur Durchführung von Selektierung in ServiceNow hinzugefügt. Aktivieren Sie diese Option, um Ausnahmen anzufordern oder AVIs als falsch positive Meldungen zu markieren. Verwenden Sie die neue Statuszuordnungslogik für AVIs.
    Version 3.2.0 – Februar 2022
    Diese Version enthält keine neuen Funktionen oder Updates. Diese Version stellt sicher, dass die Funktionen des letzten Release mit dem Familienrelease San Diego kompatibel sind.
    Version 3.1.0 – Oktober 2021
    Aktualisierte Versionsnummer für Abhängigkeitsanwendungen.
    Version 3.0.1 – Juni 2021
    Neu: Nehmen Sie SAST-Ergebnisse auf, um Sicherheitsrisiken in Ihren Anwendungen zu erkennen und diese Schwachstellen zu beheben.
    Version 2.0.0 – Februar 2021
    Neu: Zusätzliche Felder wie SDLC-Status, Schwachstellenzusammenfassung, Schwachstellenerklärung und Empfehlung wurden importiert und zur Anzeige im Formular für angreifbare Anwendungselemente zugeordnet.
    Version 1.0.1 – Dezember 2020
    Korrekturen
    Version 1.0.0 – Oktober 2020
    • Neu:
      • Erstes Release von Vulnerability Response Integration with Veracode
      • Unterstützt dynamische Anwendungssicherheitstests (Dynamic Application Security Testing, DAST)