Konfigurieren Sie die Eigenschaften GitHub Application Vulnerability Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Bevor Sie die Integration in Ihrer Instanz ausführen, müssen die Installations- und Konfigurationsschritte abgeschlossen sein, damit das GitHub-Produkt ordnungsgemäß in Application Vulnerability Responseintegriert wird. Diese Anwendung ist als separates Abonnement verfügbar.

    Vorbereitungen

    Der für das Abrufen von Daten erforderliche Bereich ist repo. Sie legen diesen Parameter in Erstellen Sie die erforderlichen Datensätze für die OAuth-Authentifizierung für GitHub Application Vulnerability Integrationfest.

    Erforderliche Rollen:
    • Benutzergruppe des App-Sec-Managers
    • Administrator für OAuth-Setup erforderlich

    Prozedur

    1. Navigieren zu Alle > GitHub-Schwachstellenintegration > Konfiguration.
    2. Füllen Sie die Felder aus.
      Feld Beschreibung
      Authentifizierungstyp Wählen Sie eines aus:
      Standardauthentifizierung
      Die Standardauthentifizierung erfordert einen MID Server für lokale Instanzen.
      OAuth
      Diese Option erfordert OAuth-Anmeldeinformationen und die in Erstellen Sie die erforderlichen Datensätze für die OAuth-Authentifizierung für GitHub Application Vulnerability Integrationbeschriebene Verbindungseinrichtung.
      API-URL Geben Sie die entsprechende GitHub-API-URL für Enterprise oder lokal ein. Die Standard-URL für Enterprise lautet https://api.github.com. Lokal ist Ihre GitHub-Endpunkt-URL.
      API-Token (Standardauthentifizierung) Das Token, das Sie über Ihre GitHub-Konsole generiert haben.
      Verbindung (OAuth) Der referenzierte Alias-Datensatz für Verbindungen und Anmeldeinformationen, den Sie in wird vorbereitet GitHub Application Vulnerability Integrationerstellt haben. Dieser Datensatz enthält einen Verbindungsdatensatz und Verbindungsaliasinformationen. Dieses Formular bietet Ihnen auch die Möglichkeit, einen MID Server auszuwählen, da die Option MID Server für OAuth auf dieser Konfigurationsseite nicht sichtbar ist.
      API-Typ (Standardauthentifizierung) Wählen Sie eines aus:
      Organisation
      Wählen Sie diese Option aus, wenn Sie Schwachstellendaten für eine bestimmte Organisation nach Name importieren möchten. Die GitHub-Umgebung unterstützt mehrere Organisationen. Jede Organisation kann mehrere Repositorys unterstützen. Wenn Sie eine Organisation eingeben, werden nur Daten aus dieser Organisation importiert.
      Unternehmen
      Die Enterprise-Umgebung unterstützt mehrere Organisationen. Wählen Sie diese Option aus, wenn Sie Schwachstellendaten aus allen Organisationen in Ihrer Unternehmensumgebung importieren möchten.
      Organisationsname Organisationsname aus GitHub. Sie zeigen eine Liste Ihrer Organisationen in der GitHub-Konsole an.
      MID-Server (Standardauthentifizierung) Für lokale Instanzen ist ein MID Server erforderlich.
      Wählen Sie Optionen aus, um die Ausnahmeverwaltung und Falschmeldungen zu verwalten.

      Wählen Sie Optionen aus, um Ausnahmenverwaltung und Falschmeldungen für angreifbare Elemente in Anwendungen (AVIs) mit ServiceNow -Workflows beim Import automatisch zu verwalten.

      Verwalten Sie Ausnahmen in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte AVIs selektieren möchten, die für den Status „Zurückgestellt“ markiert sind.

      AVIs mit Quellstatus, die in Ihrer Instanz normalerweise einem Status „Zurückgestellt“ zugeordnet sind, werden stattdessen „ Offen“ zugeordnet.

      Sie fordern eine Ausnahme aus dem AVI-Datensatz an.

      Verwalten Sie Falschmeldungen in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte AVIs mit Quellstatus selektieren möchten, die als Falsch positiv oder Potenziell falsch positivmarkiert sind.

      AVIs mit diesen Quellstatus, die in Ihrer Instanz normalerweise dem Status Geschlossen zugeordnet sind, werden Offenzugeordnet.

      Sie fordern ein falsch positives Ergebnis aus dem AVI-Datensatz an.
      • Deaktivieren Sie eine oder beide Checkboxen, wenn Sie die von Ihrem Scanner importierten Quellstatus beibehalten möchten.
      • Wenn deaktiviert, sind die Aktionen „ Ausnahme anfordern “ und „ Falsch positiv “ in AVIs nicht sichtbar.
    3. Wählen Sie Anmeldeinformationen speichern und testen aus.