Konfigurieren Sie die Eigenschaften Veracode Vulnerability Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Bevor Sie die Integration in Ihrer Instanz ausführen, müssen die Installations- und Konfigurationsschritte abgeschlossen sein, damit das Produkt Veracode ordnungsgemäß in Application Vulnerability Responseintegriert wird. Diese Anwendung ist als separates Abonnement verfügbar.

    Vorbereitungen

    Führen Sie vor der Installation die folgende Setup-Prüfliste aus. Diese Setup-Aufgaben sind für eine reibungslose Installation und Konfiguration erforderlich.
    Hinweis:
    Dieser Prozess gilt nur für Anwendungen, die in Produktionsinstanzen heruntergeladen werden. Wenn Sie Anwendungen in Test- und Entwicklungsumgebungsinstanzen herunterladen, sind keine Berechtigungen erforderlich. Fahren Sie mit Aktivieren Sie eine Anwendung ServiceNow Store .fort.
    Setupaufgaben Beschreibung
    Vergewissern Sie sich, dass die Anwendung Vulnerability Response installiert und aktiviert ist.

    Um zu überprüfen, ob diese Anwendung aktiviert ist, navigieren Sie zu Abonnement-Management > Abonnements in Ihrer Instanz zur Verfügung. In der Liste werden die Abonnements angezeigt, die Ihr Unternehmen erworben hat.

    Wenn die Anwendung nicht installiert und aktiviert ist, finden Sie weitere Informationen unter Vulnerability Response installieren.
    Vergewissern Sie sich, dass die Anwendung Vulnerability Response Integration with Veracode installiert und aktiviert ist.

    Um zu überprüfen, ob diese Anwendung aktiviert ist, navigieren Sie zu Abonnement-Management > Abonnements in Ihrer Instanz zur Verfügung. In der Liste werden die Abonnements angezeigt, die Ihr Unternehmen erworben hat.

    Wenn die Anwendung nicht installiert und aktiviert ist, finden Sie weitere Informationen unter ServiceNow Vulnerability Response Integration with Veracodeinstallieren.
    Vergewissern Sie sich, dass Sie über die erforderlichen Rollen ServiceNow für Ihre Instanz verfügen. Die folgenden Rollen sind für die Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich:
    • Wenn noch nicht zugewiesen, installiert der Systemadministrator [admin] die App und weist Benutzer der App-Sec Manager-Benutzergruppe zu.
    • Der App-Sec-Manager überwacht die Konfiguration und überprüft die erwarteten Ergebnisse.

    Halten Sie für die Integration von Veracode Application Vulnerability Ihre API-ID und Ihren API-Schlüssel bereit.

    Wenden Sie sich an Veracode, um dieAPI-ID und den API-Schlüsselzu erhalten. Weitere Informationen finden Sie unter wird vorbereitet Veracode Vulnerability Integration.

    Wenn Sie ab Version 4.0 Veracode Vulnerability Integrationverwenden, sind die Penetrationsbewertungstests in Veracode Vulnerability Integration manuelle Ergebnisse von Veracode. Diese Ergebnisse sind nicht mit Penetrationstest-Bewertungsanforderungen verknüpft, die Sie in Application Vulnerability Responsekonfigurieren. Weitere Informationen zu Penetrationstestanforderungen in Application Vulnerability Responsefinden Sie unter Konfigurieren Sie Penetrationstests.
    Erforderliche Rolle: Benutzergruppe „App-Sec-Manager“.

    Prozedur

    1. Navigieren zu Alle > Veracode Vulnerability Integration > Konfiguration.
    2. Füllen Sie die Felder API-ID und API-Schlüssel aus.
    3. Wählen Sie Ihre Testergebnisse aus.
      OptionBezeichnung
      Version 4.0:
      1. Wählen Sie die Datentypen DAST oder SAST aus, die in den Import einbezogen werden sollen.
        Hinweis:
        Sie können das eine oder das andere oder beide auswählen, Sie müssen jedoch mindestens eines auswählen.
      2. Wählen Sie SCA aus, um SCA-Schwachstellen (Software Composition Analysis) zu importieren.
      3. Wählen Sie Manuelle einbeziehen aus, um die Ergebnisse manueller Penetrationstests aus Veracodezu importieren. Für diese Ergebnisse werden AVIs erstellt.
      Version 3.0 Wählen Sie die Datentypen DAST oder SAST aus, die in den Import einbezogen werden sollen.
      Hinweis:
      Sie können das eine oder das andere oder beide auswählen, Sie müssen jedoch mindestens eines auswählen.
      Version 1.0:

      Die Ergebnisse des dynamischen Anwendungssicherheitstests sind standardmäßig ausgewählt.
    4. Fügen Sie den Veracode- Schweregrad hinzu, um Ihre importierten Daten zu filtern.
      Dieser Wert wird aus Veracode importiert. Sie können dem Feld mehrere Werte hinzufügen. Wenn ausgefüllt, erfasst der Import nur Daten, die den von Ihnen hinzugefügten Schweregradstufen entsprechen.
    5. Speichern und validieren Sie Ihre Auswahl.
      OptionBezeichnung
      Version 3.0:
      Klicken Sie auf Anmeldeinformationen speichern und testen.
      Hinweis:
      Die Konfiguration ist erfolgreich abgeschlossen, sofern keine Fehlermeldung angezeigt wird. Wenn während der Konfiguration eine Fehlermeldung angezeigt wird, geben Sie Ihre Daten erneut ein.
      Version 1.0:

      Klicken Sie auf Speichern.

      Überprüfen Sie die erfolgreiche Konfiguration, indem Sie auf Anmeldeinformationen testenklicken.

      Hinweis:
      Die Konfiguration ist erfolgreich abgeschlossen, sofern keine Fehlermeldung angezeigt wird. Wenn während der Konfiguration eine Fehlermeldung angezeigt wird, geben Sie Ihre Daten erneut ein.
    6. Wählen Sie aus, wie Sie Ausnahmen und falsch positive Meldungen für AVIs beim Import verwalten möchten.
      Optionen zum Verwalten von AVIs beim Import mit den ServiceNow Ausnahmeverwaltungs- und Falsch positiven Workflows sind standardmäßig aktiviert. Die Workflows werden basierend darauf ausgelöst, wie die Quellstatus in den AVIs in Ihrer Instanz zugeordnet werden. Ein Beispiel für einen Anwendungsfall finden Sie unter Statuszuordnung für Zurückstellungen und Falschmeldungen in verwalten Application Vulnerability Response.
      Aktiviert
      Verwalten Sie Ausnahmen in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte AVIs selektieren möchten, die für den Status „Zurückgestellt“ markiert sind.

      AVIs mit Quellstatus, die in Ihrer Instanz normalerweise einem Status „Zurückgestellt“ zugeordnet sind, werden stattdessen „ Offen“ zugeordnet.

      Sie fordern eine Ausnahme aus dem AVI-Datensatz an.

      Verwalten Sie Falschmeldungen in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte AVIs mit Quellstatus selektieren möchten, die als Falsch positiv oder Potenziell falsch positivmarkiert sind.

      AVIs mit diesen Quellstatus, die in Ihrer Instanz normalerweise dem Status Geschlossen zugeordnet sind, werden Offenzugeordnet.

      Sie fordern ein falsch positives Ergebnis aus dem AVI-Datensatz an.
      Deaktiviert

      Deaktivieren Sie eine oder beide Checkboxen, wenn Sie die von Ihrem Scanner importierten Quellstatus beibehalten möchten.

      Diese AVIs werden beim Import den Status „ Ziel “ und „Zielgrund“ zugeordnet, aber nicht von den Workflows für Ausnahmen und falsch positive Meldungen selektiert. Die Aktionen „ Anforderungsausnahme “ und „ Falsch positiv “ sind in AVIs nicht sichtbar.
    7. Klicken Sie auf Anmeldeinformationen speichern und testen.

    Nächste Maßnahme

    Wenn Ihre Umgebung domänengetrennte Importe erfordert, finden Sie weitere Informationen unter Erstellen Sie domänengetrennte Importe für eine Integration.

    Weitere Anweisungen zur Erstinstallation finden Sie unter Application Vulnerability Response konfigurieren.

    Informationen zu Änderungen nach der Erstinstallation finden Sie unter Veracode Vulnerability Integration Änderungen und Aktivitäten.