Veracode Vulnerability Integration Änderungen und Aktivitäten

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Konfigurieren Sie optionale Änderungen speziell für Veracode Vulnerability Integration.

    Von werden zusätzliche Daten angezeigt, die von importiert wurden Veracode Vulnerability Integration

    Hinweis:
    Das Ändern anderer Veracode Vulnerability Integration -Einstellungen, die nicht die hier aufgeführten sind, erfordert fortgeschrittene Kenntnisse ServiceNow von und Application Vulnerability Response und liegt außerhalb des Umfangs der Produktdokumentation.

    Weitere Details erhalten Sie von Veracode

    Wählen Sie ab v4.2 in der Tabelle „Angreifbares Element der Anwendung“ [sn_vul_app_vulnerable_item] oder in den Listenansichten in den Vulnerability Response-Arbeitsbereichen für angreifbare Elemente der Anwendung (Application Vulnerable Items, AVITs) mit Veracode als Quelle, um die folgenden Daten Veracode anzuzeigen .

    • Details zu HTTP-Quellanforderungen und Quellantworten für DAST-Scans (Dynamische Anwendungssicherheitstests) werden in der zugehörigen Liste „HTTP-Anforderung/-Antwort“ angezeigt.
    • Lösungsempfehlungen von Veracode werden in der zugehörigen Liste „Ergebnisse“ angezeigt.
    • Die HTTP-Quellanforderung, die Quellantwort und die Empfehlungen werden auf der Registerkarte „Details“ in den Vulnerability Response-Arbeitsbereichen Vulnerability Response angezeigt.
    • Die Spalte „Beschreibung“ wird in der Tabelle für angreifbare Elemente der Anwendung [sn_vul_app_vulnerable_item] unterstützt.

    Ändern Sie die Parameter der Integrationsinstanz Veracode .

    Nach der Erstinstallation können Sie Parameter für die Veracode -Integrationen in der Instanz der Veracode -Integration ändern.

    Vorbereitungen

    Erforderliche Rolle: App-Sec-Manager-Gruppe

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Parameter für eine Integration von ihrer Instanz aus ändern, um zu bestimmen, welche Art von Daten Sie erfassen. Für einige dieser Einstellungen können Sie diese Parameter auch auf der Konfigurationsseite der Integration ändern.

    Prozedur

    1. Navigieren zu Alle > Application Vulnerability Response > Administration > Integrationen.
    2. Wählen Sie Veracode-Anwendungsschwachstelle in der Spalte Quellinstanz für die Integration Veracode aus, die Sie ändern möchten.
    3. Wählen Sie die Registerkarte Integrationsinstanzparameter aus, und doppelklicken Sie auf ein Feld in der Spalte Wert, um die Werte zu ändern.

      Ab v19.0 von Vulnerability Response und v4.0 von Veracode Vulnerability Integrationkönnen Sie die folgenden Parameter für die Integrationen Veracode von konfigurieren.

      Import manuell
      Geben Sie „true“ ein, um die Ergebnisse für manuelle Penetrationstests aus Veracodezu importieren. Sie können diesen Wert auch auf der Konfigurationsseite der Integration ändern.

      Die Penetrationsbewertungstests in Veracode Vulnerability Integration sind manuelle Ergebnisse von Veracode. Diese Ergebnisse sind nicht mit Bewertungsanforderungen für Penetrationstests verknüpft, die Sie in Application Vulnerability Responsekonfigurieren. Weitere Informationen zu Penetrationstest-Anforderungen in Application Vulnerability Responsefinden Sie unter Konfigurieren Sie Penetrationstests.

      import_sca
      Geben Sie „true“ ein, um SCA-Schwachstellen (Software Composition Analysis) zu importieren. Sie können diesen Wert auch auf der Konfigurationsseite der Integration ändern.
      status
      Geben Sie Offen oder Geschlossen ein, um Ergebnisse für die gewünschten Status zu importieren. Wenn Sie dieses Feld leer lassen, importieren die Integrationsergebnisse sowohl für den Status „Offen“ als auch für den Status „Geschlossen“.
      policy_sandbox
      Geben Sie eine Richtlinie oder eine Sandbox ein, um Datensätze zu importieren, die einer Richtlinie oder einer Sandbox entsprechen. Diese Datensätze können sich darauf beziehen, wie Anwendungen in Ihrer Umgebung getestet werden.
      policy_rule_passed
      Geben Sie wahr oder falsch ein, um Datensätze zu importieren, die eine Richtlinienregel übergeben haben. Diese Datensätze können sich darauf beziehen, wie Anwendungen in Ihrer Umgebung getestet werden.
    4. Wählen Sie Aktualisieren aus, um Ihre Änderungen zu speichern.

    Führen Sie einen manuellen Veracode Import von Anwendungsschwachstellen durch

    Wenn der erste Import fehlgeschlagen ist oder Sie nicht auf den geplanten ersten Import warten möchten, können Sie unabhängig von der täglichen geplanten Aufgabe einen vollständigen Datenimport durchführen.

    Vorbereitungen

    Erforderliche Rolle: App-Sec-Manager-Gruppe

    Prozedur

    1. Navigieren zu Alle > Veracode Vulnerability Integration > Integrationen.
    2. Wählen Sie und Integration, z. B. Veracode Application List Integration.
    3. Klicken Sie auf Jetzt ausführen.
      Hinweis:
      Jede der Veracode Anwendungsschwachstellen-Integrationen soll einen möglichst vollständigen Datenabruf ermöglichen. Wenn Sie sie in Unordnung bringen, sind die Fachkenntnisse ServiceNow und Application Vulnerability Response erforderlich und können zu unvollständigen Daten führen.
      Sobald der Import abgeschlossen ist, werden die geplanten Importe fortgesetzt.
    4. Informationen zu den Status der Integrationsausführung finden Sie unter Zeigen Sie den Status der Importausführung von Veracode Anwendungsschwachstellen-Integration an.
    5. Wenn Sie andere Integrationsparameter ändern möchten, müssen Sie zur Integrationsinstanz navigieren.

    Legen Sie die Importzeiten Veracode Vulnerability Integration fest

    Zur Vereinfachung können Sie die Startzeit für Veracode Vulnerability Integrationzurücksetzen.

    Vorbereitungen

    Erforderliche Rolle: App-Sec-Manager-Gruppe

    Warum und wann dieser Vorgang ausgeführt wird

    Nach dem ersten Import führen die Veracode Schwachstellen-Integrationen bei jeder Ausführung einen vollständigen Import durch. Weitere Informationen zur Durchführung von Importen finden Sie unter Führen Sie einen manuellen Veracode Import von Anwendungsschwachstellen durch.

    Prozedur

    1. Navigieren zu Alle > Veracode Vulnerability Integration > Integrationen.
    2. Wählen Sie eine Integration aus.
    3. Legen Sie die neue Startzeitfest.
      Die Zeit wird als Stunden in Ortszeit berechnet. Die Standardzeit für Importe von Veracode Application List Integration ist 00:00:00. Die anderen Integrationen sind bei Bedarf und sind so verkettet, dass sie nach der Veracode Application List Integration ausgeführt werden. Das Ändern der Startzeit für eine dieser Optionen erfordert fortgeschrittene Kenntnisse über ServiceNow und Application Vulnerability Management.
    4. Klicken Sie auf Aktualisieren.
      Die neue Zeit wird für den nächsten geplanten Import verwendet.

    Schließt angreifbare Elemente der Veracode-Anwendung ein

    Standardmäßig werden geschlossene angreifbare Anwendungselemente (Application Vulnerable Items, AVIs) nicht während Importen der Integration von Veracode angreifbare Elemente erstellt. Wenn Sie sie erstellen möchten, müssen Sie eine Systemeigenschaft ändern.

    Vorbereitungen

    Veracode Vulnerability Integration muss installiert sein und ausgeführt werden.

    Erforderliche Rolle: Administrator

    Prozedur

    1. Geben Sie im Textfeld des Filternavigators für die Navigation auf der linken Seite sys_properties.listein.
    2. Geben Sie im Namenssuchfeld für die Liste sn_vul.create_closedein.
    3. Doppelklicken Sie auf das Feld Wert, und setzen Sie es auf Wahr
    4. Klicken Sie auf das grüne Häkchen-Symbol grünes Häkchen-Symbol, um zu speichern.
      Datensätze im Status „Geschlossen“ im nächsten Import Veracode werden als AVIs in Application Vulnerability Responseerstellt.