GitHub-Anwendungsschwachstellen-Integration
GitHub-Anwendungsschwachstellen-Integration importiert SAST-Daten (Static Application Security Testing) und SCA-Daten (Software Composition Analysis), um Sie bei der Anzeige von Schwachstellenwarnungen in den Repositorys in Ihrer GitHub -Umgebung zu unterstützen.
GitHub-Anwendungsschwachstellen-Integration
GitHub-Anwendungsschwachstellen-Integration sammelt Scannerdaten und stellt diese Daten dem Now Platform®zur Verfügung. Es lässt sich problemlos in die Funktion ServiceNow® Application Vulnerability Response von Vulnerability Response integrieren, um Schwachstellen von Drittparteien und Warnungen von GitHub in Ihrer -Instanz zuzuordnen.
Die Umgebung GitHub unterstützt mehrere Organisationen. Diese Organisationen, sowohl lokale als auch Enterprise-Organisationen, können verschiedene Abteilungen enthalten, z. B. Engineering, Qualität, Dokumentation usw. Jede Organisation kann wiederum mehrere Repositorys unterstützen. Nachdem Sie Ihre Anwendungsdaten mit der Repository-Integration GitHub importiert haben, können Sie Schwachstellen- und Warnungsdaten aus diesen Repositorys importieren. Importierte Daten werden wie eine -Anwendung in der Anwendung Application Vulnerability Response verarbeitet. Wenn Scanner Schwachstellen erkennen und Warnungen für die Repositorys generieren, werden in Application Vulnerability ResponseSchwachstellen erstellt.
Für jeden Integrationsdatensatz gibt es einen konfigurierten ausführenden Benutzer. Der Standardwert für diesen Anwender ist VR.System. Ändern Sie diesen Wert nicht.
Verfügbare Versionen
| Release-Version | Versionsinformationen |
|---|---|
| GitHub-Anwendungsschwachstellen-Integration v1.2, v1.1, 1.0 |
Application Vulnerability Response release notes Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response-Kompatibilitätsmatrix und Releaseschemaänderungen |
GitHub-Integrationen
| Integration | Beschreibung |
|---|---|
| GitHub Repository-Integration | Importieren Sie ab v1.1 alle Anwendungsdaten für Ihre GitHub lokalen und Cloud (Enterprise)-Accounts. Die Integration importiert Anwendungen aus den Repositorys, die Sie für eine Organisation (lokal) oder aus Ihrer Enterprise-Umgebung (Cloud) konfiguriert haben. Führen Sie diese Integration aus, bevor Sie die anderen GitHub Integrationen ausführen, da sie von den aktuellen Anwendungsdaten abhängen, die aus der Repository-Integration importiert wurden. |
| GitHub CodeScan-Integration | Ruft Schwachstellenwarnungen für Code-Scans aus Repositorys GitHub für Sicherheitsschwachstellen und Codierungsfehler ab. Importierte Daten werden SAST-Ergebnissen in Ihrer Instanz zugeordnet. |
| GitHub Dependabot-Integration | Ruft Dependabot-Warnungen für Abhängigkeiten mit bekannten Schwachstellen aus Repositorys ab. Importierte Daten werden in Ihrer Instanz den SCA-Ergebnissen zugeordnet. |
| GitHub Geheimes Scannen | Ruft Geheimnisse aus dem Code Ihrer Organisation zusammen mit den Ergebnissen der Anwendungssicherheitstests ab. Die Daten werden den SCA-Ergebnissen in Ihrer -Instanz zugeordnet. |
| GitHub Geheimer Scan-Speicherort | Ruft den Speicherort und die Zeilennummern für die gescannten Geheimnisse im Code Ihrer Organisation ab, um Ihre Entwickler bei der Korrektur zu unterstützen. |
Now Platform®SBOM -Dateien werden aus Ihren GitHub -Repositorys in [] hochgeladen
Stellen Sie fest, ob die in Ihren CI/CD-Pipelines (kontinuierliche Integration und kontinuierliche Bereitstellung/Bereitstellung) generierten Dateien SBOM erfolgreich in der Instanz Now Platform® in die Warteschlange gestellt wurden.
- Schützen Sie Ihre Umgebungen während Software-Entwicklungszyklen mit GitHub -Aktionen, die Sie in Ihrer GitHub -Umgebung initiieren, vor potenziell schädlichen Komponenten.
- Rufen Sie alle erforderlichen GitHub -Aktionen für den Upload von SBOM im GitHub-Marketplace ab.
Die SBOM -Anwendungen sind erforderlich, um SBOM -Dateien hochzuladen. Weitere Informationen finden Sie unter Software Bill of Materials erkunden.
Importierte Daten werden angezeigt
Importierte Anwendungsdaten aus der Repository-Integration GitHub ] werden in der Tabelle „Erkannte Anwendungen“ [sn_vul_app_release] angezeigt. Führen Sie diese Integration zuerst aus.
Die Repository-Integration importiert Tags und Themen, die Sie für ein Repository in Ihrem Konto GitHub aus dem Menü „Einstellungen“ konfiguriert haben. Anwenderdefinierte Eigenschaften befinden sich im Menü unter Ihrem Repository. Die von Ihnen für die Eigenschaften festgelegten Werte werden als Schlüssel-Wert-Paare importiert. Weitere Informationen dazu, wo Sie diese Informationen in Ihrer Instanz anzeigen können, finden Sie unter Zeigen Sie den Ausführungsstatus des Imports GitHub-Anwendungsschwachstellen-Integration und die importierten Repository-Daten an.
Importierte Daten (Ergebnisse) aus der Dependabot-Integration GitHub werden in den folgenden Tabellen angezeigt.
- Erkannte Anwendungen [sn_vul_app_release].
- Zusammenfassungen von Anwendungsschwachstellen-Scans [sn_vul_app_vul_scan_summary].
- Angreifbare Anwendungselemente [sn_vul_app_vulnerable_item]
- Pakete [sn_vul_app_package]
Importierte Daten aus der GitHub CodeScan Integration werden in den folgenden Tabellen angezeigt.
- Erkannte Anwendungen [sn_vul_app_release].
- Zusammenfassungen von Anwendungsschwachstellen-Scans [sn_vul_app_vul_scan_summary].
- Anwendungsschwachstelleneinträge [sn_vul_app_vul_entry]
- Angreifbare Anwendungselemente [sn_vul_app_vulnerable_item]