Anwendungsschwachstellenantwort Versionshinweise

Zurich-Release-Hinweise

Release

zurich

ft:locale

de-DE

ft:publication_title

Zurich-Release-Hinweise

ft:clusterId

bundleId

Anwendungsschwachstellenantwort Versionshinweise

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

6 Minuten Lesedauer

Die ServiceNow® Application Vulnerability Response Die Anwendung vereint Sicherheit und IT, damit Sie Ihre kritischsten Schwachstellen schneller und effizienter beheben können. Application Vulnerability Response Wurde in erweitert und aktualisiert Zürich Release.

Anwendungsschwachstellenantwort Hervorhebungen für Zürich Release

Überwachen Sie Ihre Penetrationstestanforderungen und -Ergebnisse sowie den Gesamtfortschritt Ihres Teams im Penetrationstest-Arbeitsbereich.
Bewerten Sie die Risikopunktzahl, Zuweisungen, das Korrekturzieldatum, Ausnahmen und die Korrekturaufgabe für einen bestimmten Satz angreifbarer Anwendungselemente im Vulnerability Manager-Arbeitsbereich neu.
Integrieren Sie sie mit unterstützten Drittanbieterscannern, um Schwachstellendaten zu importieren.
Vergleichen Sie Daten im Zusammenhang mit Anwendungsschwachstellen, und bestimmen Sie, ob Anwendungsschwachstellen in einer Anwendung gefunden werden.
Priorisieren, korrigieren und verwalten Sie angreifbare Anwendungselemente (AVIT) Jede Anwendungsschwachstelle stellt einen Schwachstelleneintrag in der Common Weekness Enumeration (CWE) oder in Bibliotheken von Drittparteien dar.
Erstellen Sie mit der Rolle sn_vul.App_sec_Manager Anwendungskorrekturaufgaben manuell im Vulnerability Manager-Arbeitsbereich.
Erstellen Sie mit der Rolle sn_vul.App_sec_Manager Anwendungskorrekturaufgaben manuell im Vulnerability Manager-Arbeitsbereich.

Weitere Informationen finden Sie unter Application Vulnerability Response.

Wichtig:

Application Vulnerability Response ist im ServiceNow Store verfügbar. Weitere Informationen finden Sie im Abschnitt „Aktivierungsinformationen“ dieser Versionshinweise.

Wichtige Informationen für das Upgrade Application Vulnerability Response Bis Zürich

Informationen zu den neuen Funktionen von Vulnerability Response finden Sie unter Vulnerability Response Versionshinweise.
Um weitere Informationen zu den veröffentlichten Versionen von zu erhalten Application Vulnerability Response Anwendung sowie die Drittpartei und ServiceNow Anwendungen, die mit kompatibel sind Zurich Release, siehe Vulnerability Response-Kompatibilitätsmatrix und Änderungen am Release-Schema [KB0856498] artikel in Now Support Knowledge Base.

Neu in Zürich Release

Erweiterungen an Application Vulnerability Response

Der Workflow „Zuweisung aufheben“ wird für angreifbare Anwendungselemente (AVITs) und Korrekturaufgaben (AVULs) unterstützt.

Optimieren Sie die Zuweisung von Anwendungsschwachstellen mit Zuweisung Aufheben UI-Aktion aus dem Menü „weitere Aktionen“ in einem AVIT.
Weisen Sie falsch zugewiesene AVITs neu zu, klären Sie die Verantwortung für eine Neubewertung, und verwalten Sie genaue Selektierungsdatensätze in Arbeitsbereichsansichten.
Sie haben die Möglichkeit, Anforderungen zum Aufheben der Zuweisung zur Genehmigung zu senden, bevor Sie die Felder Zugewiesen an und Zuweisungsgruppe in Datensätzen löschen.

SBOM-Dokument-Upload über Github-Aktion

Laden Sie gültige Software Bill of Material (SBOM)-Dokumente mit Hilfe der GitHub-Aktion auf die ServiceNow-Plattform hoch.

Erstellen Sie Anwendungskorrekturaufgaben manuell im Vulnerability Manager-Arbeitsbereich

Mit der Rolle sn_vul.App_sec_Manager können Sie Anwendungskorrekturaufgaben manuell erstellen, indem Sie einige oder alle Datensätze in den Listen der angreifbaren Anwendungselemente im auswählen Arbeitsbereich des Schwachstellenmanagers. Diese Datensätze werden gemäß den Gruppierungskriterien, die beim Erstellen von Anwendungskorrekturaufgaben ausgewählt wurden, in eine oder mehrere Korrekturaufgaben gruppiert.

Erstellen Sie Anwendungskorrekturaufgaben manuell im IT-Korrekturarbeitsbereich

Mit der Rolle sn_vul.App_Security_Champion können Sie Anwendungskorrekturaufgaben manuell erstellen, indem Sie die gewünschten Datensätze in den Listen der angreifbaren Anwendungselemente im auswählen Arbeitsbereich für IT-Korrekturen. Diese Datensätze werden gemäß den Gruppierungskriterien, die beim Erstellen von Anwendungskorrekturaufgaben ausgewählt wurden, in eine oder mehrere Korrekturaufgaben gruppiert.

Manuelle Erfassung von Schwachstellen für die Integration von Anwendungsschwachstellen

Importieren Sie AVITs aus externen Quellen über eine standardisierte Vorlage (z. B. CSV, Excel), und verwalten Sie den Lebenszyklus der Penetrationstestergebnisse. Jetzt können Sie Schwachstellendaten erfassen, einschließlich Details wie betroffene Anwendung, Beschreibung der Schwachstelle, Schweregrad, Korrekturempfehlungen, einschließlich anderer erforderlicher Details. Mit dieser Erweiterung können Sie den Prozess der Konsolidierung von Schwachstellendaten aus verschiedenen Quellen in einem zentralen Penetrationstest-Arbeitsbereich vereinfachen.

Penetrationstest-Arbeitsbereich

Überwachen Sie Ihre Penetrationstestanforderungen und -Ergebnisse sowie den Gesamtfortschritt Ihres Teams im Penetrationstest-Arbeitsbereich. Priorisieren Sie Tests, die Ihre Aufmerksamkeit erfordern, verfolgen Sie Ergebnisse, und zeigen Sie Zuweisungen mit den folgenden Datenvisualisierungen im Dashboard an:

Wichtige Elemente.
Penetrationstestanforderungen, die kritisch sind und nach Status sind.
Gemeldete Ergebnisse.
Gesamter Korrekturfortschritt basierend auf der Zuweisung.

Erweiterungen für Penetrationstestbewertungsanforderungen

Zusammen mit „vollständige Penetration“, „fokussiert“ und „erneuter Test“ sind die folgenden Bewertungstypen für Formulare „Penetrationstestbewertungsanforderungen“ im Penetrationstest-Arbeitsbereich enthalten:

Notfall-Release: Unterstützt Notfall-Releases, die für schnelle Software-Updates erforderlich sind, um kritische Probleme wie Sicherheitsschwachstellen zu beheben.
Bug Bounty-Programm: Belohnt ethische Hacker, um Sicherheitsschwachstellen zu finden und zu melden.
Release-Genehmigungen: Stellen Sie sicher, dass alle erforderlichen Prüfungen abgeschlossen sind, bevor Sie neue Software bereitstellen.
Einmalige Überprüfungen: Bewerten Sie bestimmte Projekte außerhalb der regulären Entwicklungs- und Releasezyklen, um die Leistung zu bewerten und Verbesserungen zu implementieren.
Interesse an Führungskräften: Bericht über die Einbindung der Geschäftsleitung und den Support für kritische Projekte innerhalb der Organisation.

Verbesserungen an den Feldern „Release-Genehmigung“ und „Release-Hinweise“ helfen Ihnen, Qualität und Sicherheit für Ihre Pen-Testergebnisse sicherzustellen.

Die folgenden status wurden dem Feld Release-Genehmigung hinzugefügt:

Nicht Zutreffend (Standard).
Genehmigt .
Abgelehnt .

Sie können im Feld Release-Hinweise Details hinzufügen, um Ihre Release-Genehmigungen zu begründen.

Ordnen Sie CWEs für die manuelle AVIT-Erstellung aus Penetrationstestbewertungsanforderungen zu

Auf der Registerkarte Penetrationstestergebnisse in Penetrationstestbewertungsanforderungen haben Sie die Möglichkeit, Common Simpness Enumerations (CWE) oder Common Vulnerabilities and Exposures (CVE) in zuzuordnen Schwachstelle Feld für manuell erstellte AVITs.

Erstellen Sie Change-Anforderungen in Application Vulnerability Response

Anwender mit den Rollen sn_vul.App_sec_Manager und sn_vul.App_sec_Champion sowie Anwender mit der Rolle sn_vul.App_Developer mit der Rolle ITIL können Change-Anforderungen aus Korrekturaufgaben in erstellen Application Vulnerability Response Anwendung. Erstellen Sie Change-Anforderungen, um Ihre Untersuchung auf Anwendungsschwachstellen (AVIT) zu beschleunigen, die manuelles Eingreifen erfordern.

Erstellen Sie Change-Anforderungen mit vorab ausgefüllten Informationen für gescannte Anwendungen, die als Konfigurationselemente (Configuration Items, CI) klassifiziert sind
Der Change-Anforderungs-Workflow in Application Vulnerability ResponseÄhnelt dem in unterstützten Workflow Vulnerability Response. Weitere Informationen zu finden Vulnerability Response Change-Anforderungs-Workflow, siehe Change management for Vulnerability Response.

Hinweis:

Change-Anforderungen werden für unterstützt Application Vulnerability Response Nur, wenn die erkannte Anwendung einem Konfigurationselement (Configuration Item, CI) zugeordnet ist. Sie müssen festlegen Produktmodell Bis Falsch In der Systemeigenschaft Produktmodell verwenden [sn_vul.use_product_model], um eine erkannte Anwendung einem CI zuzuordnen.

Erweiterungen für Software Bill of Materials Arbeitsbereich

Sie können mehrere Stücklistenentitätsdatensätze und die zugehörigen Komponenten mit Massenbearbeitung aus löschen Software Bill of Materials SBOM SBOM-Arbeitsbereich.
Alle angreifbaren Anwendungselemente (AVIT), die gelöschten Stücklistenentitäten zugeordnet sind, werden automatisch zu übergehen Geschlossen .

Zeigen Sie Details zur Risikopunktzahl eines angreifbaren Elements im Abschnitt „Arbeitsnotizen“ an

Ab v25.0.3 von Application Vulnerability Response, Die Systemeigenschaft sn_sec_cmn.risk_score_changes_add_worknotesIst standardmäßig inaktiv. Wenn Sie sie aktivieren, können Sie nur im Abschnitt „Arbeitsnotizen“ alle Änderungen im Zusammenhang mit der Risikopunktzahl eines angreifbaren Anwendungselements anzeigen. Außerdem werden die Arbeitsnotizen nur aktualisiert, wenn sich die Risikopunktzahl ändert.

UI-Änderungen

Korallendesign: Coral ist jetzt das Standarddesign für neue Portal-, Web- und Mobile-Experiences mit Next Experience Oder Core-UI Aktiviert. Dieses Design bietet ein frisches Erscheinungsbild mit markenneutralen Illustrationen, um Ihre Anwender-Experience zu verbessern. Für Web- und Mobile-Experiences ist eine dunkle Designoption verfügbar.

Änderungen in diesem Release

Konfigurieren Sie die maximale Anzahl von Zeilen in zugehörigen Listen: Um die Lesbarkeit und Leistung zu verbessern, können Sie jetzt die Anzahl der Zeilen beschränken, die in zugehörigen Listen in Formularen angezeigt werden, indem Sie die Systemeigenschaft festlegen sn_vul_cmn.related_list.set_max_row.
Verbessertes Statusmanagement für Korrekturaufgaben und angreifbare Elemente: Die Statusverwaltungslogik für das Rollup des Status von Korrekturaufgaben (RTS) zu Ergebnissen und das Rollup des Status von Ergebnissen zu RTS wurde in allen Modulen verfeinert. Updates verbessern die Genauigkeit, indem sie gemischte elementstatus (eine Kombination aus zurückgestellt und geschlossen) behandeln, den Abschluss von Aufgaben in substatus wie „in Überprüfung“ unterstützen und Aufgaben basierend auf dem Feld „Zugewiesen an“ erneut öffnen. Das Update verbessert auch die Verarbeitung von falsch positiven Statusübergängen basierend auf Scannererergebnissen als Quelle der Wahrheit. Diese Erweiterungen reduzieren den manuellen Aufwand, klären die Aufgabenverantwortung und optimieren Korrekturworkflows.

Aktivierungsinformationen

Installieren Vulnerability Response Und Drittpartei-Integrationen, indem sie über angefordert werden ServiceNow Store. Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.