Konfigurieren Sie die Eigenschaften GitHub-Anwendungsschwachstellen-Integration

Freigeben Version: Yokohama

Aktualisiert 30. Januar 2025

3 Minuten Lesedauer

Bevor Sie die Integration in Ihrer Instanz von ausführen, müssen die Installations- und Konfigurationsschritte abgeschlossen werden, damit das GitHub-Produkt ordnungsgemäß in Application Vulnerability Responseintegriert werden kann. Diese Anwendung ist als separates Abonnement verfügbar.

Vorbereitungen

Erforderliche Rollen:

App-Sec-Manager-Benutzergruppe
sn_vul.app_sec_manager für OAuth-Einrichtung erforderlich

Prozedur

Navigieren zu Alle > GitHub-Schwachstellenintegration > Konfiguration.
Wählen Sie Standardauthentifizierung oder OAuth als Authentifizierungstyp aus.
- Die Standardauthentifizierung erfordert einen MID-Server für lokale Instanzen. Generieren Sie das für die Standardauthentifizierung erforderliche API-Token in Ihrem GitHub -Konto.
- OAuth erfordert die in Erstellen von OAuth 2.0-Anmeldeinformationen für GitHub Apps – JWT für GitHub-Anwendungsschwachstellen-Integrationbeschriebene Einrichtung von OAuth-App, -Anmeldeinformationen und -Verbindung.

Füllen Sie die Felder je nach ausgewähltem Typ aus.

Basic Authentication

Tabelle : 1.
Feld	Beschreibung
API-URL	Die entsprechende GitHub API-URL für Enterprise oder lokal. Die Standard-URL lautet https://api.github.com. Lokal ist Ihre Endpunkt-URL GitHub.
API-Token	Token, das Sie über Ihre GitHub -Konsole generiert haben.
API-Typ	Wählen Sie eines aus: Organisation Wählen Sie diese Option, wenn Sie Daten für eine bestimmte Organisation nach Name importieren möchten. Die Umgebung GitHub unterstützt mehrere Organisationen. Jede Organisation kann mehrere Repositorys unterstützen. Wenn Sie eine Organisation eingeben, werden nur Daten von dieser Organisation importiert. Enterprise Die Enterprise-Umgebung unterstützt mehrere Organisationen. Wählen Sie diese Option aus, wenn Sie Schwachstellendaten aus allen Organisationen in Ihrer Enterprise (Cloud)-Umgebung importieren möchten.
Organisationsname	Name Ihres GitHub -Repositorys. Nur Daten aus der von Ihnen eingegebenen Organisation werden importiert.
MID-Server	Für lokale Instanzen ist für die Standardauthentifizierung ein MID Server erforderlich.
Wählen Sie Optionen aus, um Ausnahmeverwaltung und falsch positive Meldungen zu verwalten.	Wählen Sie Optionen aus, um Workflows für Ausnahmeverwaltung und falsch positive Elemente für angreifbare Elemente in Anwendungen mit ServiceNow beim Import automatisch zu verwalten. Verwalten Sie Ausnahmen in ServiceNow Lassen Sie diese Option aktiviert, wenn Sie importierte AVIs, die für den Status „ Zurückgestellt“ markiert sind, selektieren möchten. AVIs mit Quellstatus, die in Ihrer Instanz normalerweise einem Status „Zurückgestellt“ zugeordnet sind, werden stattdessen „ Offen“zugeordnet. Sie fordern eine Ausnahme aus dem AVI-Datensatz an. Verwalten Sie falsch positive Meldungen in ServiceNow Lassen Sie diese Option aktiviert, wenn Sie importierte AVIs mit Quellstatus, die als Falsch positiv oder Potenziell falsch positivmarkiert sind, selektieren möchten. AVIs mit diesen Quellstatus, die in Ihrer Instanz normalerweise einem Status „Geschlossen“ zugeordnet sind, werden Offenzugeordnet. Sie fordern ein Falsch positives Ergebnis aus dem AVI-Datensatz an. Deaktivieren Sie eines oder beide Kontrollkästchen, wenn Sie die von Ihrem Scanner importierten Quellstatus beibehalten möchten. Wenn diese Option deaktiviert ist, sind die Aktionen „Ausnahme anfordern“ und „Falsch positiv“ in AVIs nicht sichtbar.
Integrationsinstanz	Instanz, in die Sie Daten importieren.

OAuth

Tabelle : 2.
Feld	Beschreibung
API-URL	Die entsprechende GitHub API-URL für Enterprise oder lokal. Die Standard-URL lautet https://api.github.com. Lokal ist Ihre Endpunkt-URL GitHub.
Verbindung	Die von Ihnen erstellte Verbindung, beschrieben in Erstellen von OAuth 2.0-Anmeldeinformationen für GitHub Apps – JWT für GitHub-Anwendungsschwachstellen-Integration.
API-Typ	Wählen Sie eines aus: Organisation Wählen Sie diese Option, wenn Sie Daten für eine bestimmte Organisation nach Name importieren möchten. Die Umgebung GitHub unterstützt mehrere Organisationen. Jede Organisation kann mehrere Repositorys unterstützen. Wenn Sie eine Organisation eingeben, werden nur Daten von dieser Organisation importiert. Enterprise Die Enterprise-Umgebung unterstützt mehrere Organisationen. Wählen Sie diese Option aus, wenn Sie Schwachstellendaten aus allen Organisationen in Ihrer Enterprise (Cloud)-Umgebung importieren möchten. Hinweis: GitHub Apps unterstützen keine APIs der Enterprise-Ebene.
Organisationsname	Organisationsname für Ihre GitHub -Repositorys. Nur Daten aus den Repositorys in der von Ihnen eingegebenen Organisation werden importiert.
Wählen Sie Optionen aus, um Ausnahmeverwaltung und falsch positive Meldungen zu verwalten.	Wählen Sie Optionen aus, um Workflows für Ausnahmeverwaltung und falsch positive Elemente für angreifbare Elemente in Anwendungen mit ServiceNow beim Import automatisch zu verwalten. Verwalten Sie Ausnahmen in ServiceNow Lassen Sie diese Option aktiviert, wenn Sie importierte AVIs, die für den Status „ Zurückgestellt“ markiert sind, selektieren möchten. AVIs mit Quellstatus, die in Ihrer Instanz normalerweise einem Status „Zurückgestellt“ zugeordnet sind, werden stattdessen „ Offen“zugeordnet. Sie fordern eine Ausnahme aus dem AVI-Datensatz an. Verwalten Sie falsch positive Meldungen in ServiceNow Lassen Sie diese Option aktiviert, wenn Sie importierte AVIs mit Quellstatus, die als Falsch positiv oder Potenziell falsch positivmarkiert sind, selektieren möchten. AVIs mit diesen Quellstatus, die in Ihrer Instanz normalerweise einem Status „Geschlossen“ zugeordnet sind, werden Offenzugeordnet. Sie fordern ein Falsch positives Ergebnis aus dem AVI-Datensatz an. Deaktivieren Sie eines oder beide Kontrollkästchen, wenn Sie die von Ihrem Scanner importierten Quellstatus beibehalten möchten. Wenn diese Option deaktiviert ist, sind die Aktionen „Ausnahme anfordern“ und „Falsch positiv“ in AVIs nicht sichtbar.

Wählen Sie Anmeldeinformationen speichern und testen aus.
Führen Sie die GitHub Repository-Integration aus, bevor Sie die anderen Integrationen ausführen.
Die anderen GitHub -Integrationen hängen von aktuellen Anwendungsdaten ab, die aus der Repository-Integration importiert werden. Daten aus der Repository-Integration werden in der Tabelle „Erkannte Anwendungen“ [sn_vul_app_release] gespeichert. Weitere Informationen finden Sie unter Zeigen Sie den Ausführungsstatus des Imports GitHub-Anwendungsschwachstellen-Integration und die importierten Repository-Daten an.