Veracode Vulnerability Integration

Das Produkt Veracode erfasst Daten zu dynamischen Anwendungssicherheitstests (Dynamic Application Security Testing, DAST), statische Anwendungssicherheitstests (SAST) sowie manuelle Scannerdaten und stellt diese Daten für Now Platform®zur Verfügung. Es lässt sich problemlos in die Funktion Application Vulnerability Response von Vulnerability Response integrieren, um Schwachstellen von Drittparteien abzubilden, die die Daten in Ihrer -Instanz ergänzen.

Ab v19.0 von Vulnerability Responsekönnen Sie SCA-Schwachstellen (Software Composition Analysis) und Schwachstellendaten Software Bill of Materials vom Typ (SBOM) importieren, um Schwachstellen in Ihren Softwareanwendungen zu identifizieren. Weitere Informationen finden Sie unter Software Bill of Materials erkunden.

Eine gemeinsam genutzte API erfasst DAST-, SAST- und SCA-Daten sowie die Ergebnisse manueller Penetrationstests.

Für jeden Integrationsdatensatz gibt es einen konfigurierten ausführenden Benutzer. Der Standardwert für diesen Anwender ist VR.System. Ändern Sie diesen Wert nicht.

Jeden Tag rufen geplante Aufgaben die Integrationen automatisch in der Reihenfolge auf, in der sie aufgelistet sind. Sie können einzelne geplante Aufgaben auch manuell ausführen. Geplante Aufgaben vereinfachen den Lebenszyklus der Schwachstellenkorrektur, indem sie die Instanz mit anderen Schwachstellenmanagementsystemen synchronisieren.

Weitere Details erhalten Sie von Veracode

Wählen Sie ab v4.2 in der Tabelle „Angreifbares Element der Anwendung“ [sn_vul_app_vulnerable_item] oder in den Listenansichten in den Vulnerability Response-Arbeitsbereichen für angreifbare Elemente der Anwendung (Application Vulnerable Items, AVITs) mit Veracode als Quelle, um die folgenden Daten Veracode anzuzeigen .

Details zu HTTP-Quellanforderungen und Quellantworten für DAST-Scans (Dynamische Anwendungssicherheitstests) werden in der zugehörigen Liste „HTTP-Anforderung/-Antwort“ angezeigt.
Lösungsempfehlungen von Veracode werden in der zugehörigen Liste „Ergebnisse“ angezeigt.
Die HTTP-Quellanforderung, die Quellantwort und die Empfehlungen werden auf der Registerkarte „Details“ in den Vulnerability Response-Arbeitsbereichen Vulnerability Response angezeigt.
Die Spalte „Beschreibung“ wird in der Tabelle für angreifbare Elemente der Anwendung [sn_vul_app_vulnerable_item] unterstützt.

Verfügbare Versionen


Freigabeversion	Release-Hinweise
Veracode v4.3 Veracode v4.2 Veracode v4.1	Application Vulnerability Response release notes Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response-Kompatibilitätsmatrix und Releaseschemaänderungen

Benutzergruppe und -rollen

Veracode Vulnerability Integration wird von einem Systemadministrator [admin] installiert und von einem Mitglied der App-Sec-Manager-Gruppe konfiguriert. Weitere Informationen finden Sie unter Application Vulnerability Response Benutzergruppen und -rollen.

Veracode Vulnerability Integration

Um die Veracode Schwachstellen-Integrationen anzuzeigen, navigieren Sie zu Alle > Veracode Vulnerability Integration > Integrationen.

Die folgenden Integrationen sind im Basissystem enthalten.

Tabelle : 1. Veracode Vulnerability Integration
Integration	Beschreibung
Ab v4.1: Veracode Integration von Linkprojekten	Diese Integration ist standardmäßig aktiviert. Ruft alle zugeordneten Projekte für jede Anwendung von Veracodeab. Anwendungen können mehrere Projekte in der Anwendung Veracode haben. Aus dieser Integration importierte Daten werden in den folgenden Datensätzen angezeigt: Das Datum des letzten SCA-Scans, das Erstellungsdatum der Appund das Datum der App-Aktualisierung sind in Datensätzen unter Erkannte Anwendungenaufgeführt. In den Datensätzen „Zusammenfassung des Anwendungsschwachstellen-Scans“ und „Application Vulnerable Items“ (AVITs) wird der Quell-SDLC-Status (Software Development Life Cycle) angezeigt. Die Ausnutzbarkeit der Quelle wird für Datensätze von angreifbaren Elementen in der Anwendung angezeigt.
Veracode Integration der Anwendungsliste (JSON)	Diese Integration ist standardmäßig inaktiv. Ruft Veracode Anwendungsscannerdaten (Schwachstellen, Metadaten) ab und erweitert Ihre Anwendungsdaten. Ruft Scan-Datensätze von Veracode über eine JSON-basierte API ab.
Veracode Integration der Anwendungsliste (XML)	Diese Integration ist standardmäßig inaktiv. Die XML-basierte Version dieser Integration wurde deaktiviert (veraltet). Ruft Veracode Anwendungsscannerdaten (Schwachstellen, Metadaten) ab und erweitert Ihre Anwendungsdaten. Diese Integration wird täglich um 00:00:00 Uhr ausgeführt. Hinweis: Zum Abrufen der Liste der Anwendungen wird eine JSON-basierte API von Veracode verwendet. Diese API importiert für diese Anwendungen das Datum der letzten Prüfung der Richtlinien-Compliance, das angibt, wann diese Anwendungen zuletzt von Veracodegescannt wurden.
Veracode Software Bill of Materials (SBOM) Integration	Version 4.3 von Veracode Vulnerability Integration enthält die folgenden Erweiterungen für Veracode SBOM -Dateien: Wenn Sie SBOM Response installiert haben, können Sie von Veracode gefundene Schwachstellen für die von Ihnen hochgeladenen SBOM-Dateien einbeziehen. Veracode wird dem Feld Quelle für Datensätze in der Stücklistentabelle [sn_sbom_doc] für die SBOM-Dateien Veracode zugeordnet. Diese Integration ist standardmäßig aktiviert. Ab v4.2 importiert von [ Veracode generierte Software Bill of Materials -Dateien in den Formaten Epic (CycloneDX) und SPX und stellt sie zur Analyse in Ihrer -Instanz in die Warteschlange. Sie müssen die Anwendungen Software-Stückliste installiert haben, um diese Daten importieren und anzeigen zu können.
Veracode Integration der Scan-Zusammenfassung (JSON)	Diese Integration ist standardmäßig inaktiv. Ruft Scan-Datensätze von Veracode über eine JSON-basierte API ab. Diese Integration ersetzt die XML-basierte API-Integration. Sie ist verkettet und folgt der Veracode Application List Integration, wenn sie aktiviert ist.
Veracode Scan-Zusammenfassung (XML)	Diese Integration ist standardmäßig inaktiv. Die XML-basierte Version dieser Integration wurde deaktiviert (veraltet). Ruft Scan-Datensätze von Veracodeab. Diese Integration ist verkettet und folgt der Veracode Application List Integration, wenn sie aktiviert ist. Hinweis: Verfolgt automatisch die Integration der Veracode Anwendungsliste, wenn sie aktiviert ist. Mit „Letzte Prüfung der Richtlinien-Compliance“ für die Anwendungen von Veracoderuft diese Integration nur Daten für die Anwendungen ab, die nach der „delta_start_time“ dieser Integration gescannt wurden.
Veracode Integration von angreifbarem Anwendungselement in JSON	Ab v4.2 können Sie Details wie Gesamtverarbeitungszeiten, Durchschnittszeiten für Prozesse vor und nach der Integration und Berichte zu Integrationsausführungsdatensätzen für Integrationen von angreifbaren Anwendungselementen anzeigen. Diese Integration ist standardmäßig inaktiv. Ruft Scan-Ergebnisse mit mehr Schwachstellendaten als die XML-basierte Integration von Veracodeab. Es fügt AVIs ein und ergänzt Ihre Drittpartei-Schwachstellendaten.
Veracode Integration angreifbarer Elemente in der Anwendung (XML)	Ab v4.2 können Sie Details wie Gesamtverarbeitungszeiten, Durchschnittszeiten für Prozesse vor und nach der Integration und Berichte zu Integrationsausführungsdatensätzen für Integrationen von angreifbaren Anwendungselementen anzeigen. Diese Integration ist standardmäßig inaktiv. Ruft Scan-Ergebnisse von Veracodeab, fügt angreifbare Elemente in der Anwendung (Application Vulnerable Items, AVITs) ein und erweitert Ihre Schwachstellendaten von Drittparteien. Standardmäßig werden keine AVITs erstellt, wenn sich der Scanner-Datensatz im Status Geschlossen befindet. Vorhandene AVITs werden weiterhin aktualisiert. Diese Integration ist verkettet und folgt der Veracode Scan Summary-Integration, wenn sie aktiviert ist. Die XML-basierte API ist für die Veracode Integration mit der Scan-Zusammenfassung JSON veraltet. Hinweis: Entspricht automatisch der Veracode Integration der Scan-Zusammenfassung. Mit „Letzte Prüfung der Richtlinien-Compliance“ für die Anwendungen von Veracoderuft diese Integration nur Daten für die Anwendungen ab, die nach der „delta_start_time“ dieser Integration gescannt wurden.
Veracode Integration von Kategorien	Diese Integration ist standardmäßig inaktiv. Ruft erweiterte Kategoriedaten von Veracodeab.
Veracode CWE-Integration	Diese Integration ist standardmäßig aktiviert. Ruft Veracode spezifische Common Weakness Enumeration-Daten (CWE) für Bedrohungsinformationen und Korrekturempfehlungen ab. Diese Daten werden in den Anwendungsschwachstelleneintrags-Datensätzen eingetragen und aktualisiert. Diese CWE-Integration funktioniert unabhängig von der geplanten Aufgabe für die Integration von CWE Comprehensive 2000, die Sie für die Anwendung Vulnerability Response aktivieren. Ihre Daten werden nicht dupliziert, wenn Sie die Veracode CWE-Integration und die CWE Comprehensive 2000-Integration aktiviert haben.
Veracode DevOps-Integration	Diese Integration ist standardmäßig inaktiv. Die Integration kann in der Liste Anwendungsschwachstellen-Integrationen in Application Vulnerability Responseangezeigt werden. Wenn Sie über eine DevOps Change Velocity-Lizenz verfügen, ist diese Funktion so strukturiert, dass DevOps-Benutzer keine SecOps-Lizenz benötigen, um Zusammenfassungsdetails für Schwachstellen-Scans von Drittparteien anzuzeigen. Es gibt keine Auswirkungen oder Changes für Application Vulnerability Response.

Informationen zu den Status der Integrationsausführung finden Sie unter Zeigen Sie den Status der Importausführung von Veracode Anwendungsschwachstellen-Integration an.

Informationen zum Anzeigen von Daten in Schwachstellen von Drittparteien finden Sie unter Schwachstellenbibliotheken anzeigen.