GitHub-Anwendungsschwachstellen-Integration
Die GitHub-Anwendungsschwachstellen-Integration Importiert SAST-Daten (Static Application Security Testing) und SCA-Daten (Software Composition Analysis), damit Sie Schwachstellen-Warnungen in den Repositorys in anzeigen können GitHub Umgebung.
GitHub-Anwendungsschwachstellen-Integration
Die GitHub-Anwendungsschwachstellen-Integration Sammelt Scannerdaten und stellt diese Daten dem zur Verfügung ServiceNow AI Platform®. Es lässt sich problemlos in integrieren ServiceNow® Application Vulnerability Response Funktion von Vulnerability Response Um Schwachstellen von Drittparteien und zuzuordnen GitHub Warnungen in Ihrer Instanz.
Die GitHub Die Umgebung unterstützt mehrere Organisationen. Diese Organisationen, sowohl lokal als auch Enterprise, können verschiedene Abteilungen enthalten, z. B. Engineering, Qualität, Dokumentation usw. Jede Organisation kann wiederum mehrere Repositorys unterstützen. Nachdem Sie Ihre Anwendungsdaten mit importiert haben GitHub Repositorys-Integration können Sie Schwachstellen- und Warnungsdaten aus diesen Repositorys importieren. Importierte Daten werden wie eine Anwendung in verarbeitet Application Vulnerability Response Anwendung. Wenn Scanner Schwachstellen erkennen und Warnungen für die Repositorys generieren, werden in Schwachstellen erstellt Application Vulnerability Response.
Für jeden Integrationsdatensatz ist ein „Run-as“-Anwender konfiguriert. Der Standardwert für diesen Anwender ist VR.System . Ändern Sie diesen Wert nicht.
Verfügbare Versionen
| Freigabeversion | Release-Hinweise |
|---|---|
| GitHub-Anwendungsschwachstellen-Integration v1.2, v1.1, 1,0 |
Application Vulnerability Response release notes Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response-Kompatibilitätsmatrix und Änderungen am Release-Schema |
GitHub-Integrationen
| Integration | Beschreibung |
|---|---|
| GitHub Repository-Integration | Importieren Sie ab v1.1 alle Anwendungsdaten für Ihren GitHub Lokale und Cloud-Accounts (Enterprise). Die Integration importiert Anwendungen aus den Repositorys, die Sie für eine Organisation (lokal) oder aus Ihrer Enterprise-Umgebung (Cloud) konfiguriert haben. Führen Sie diese Integration aus, bevor Sie die andere ausführen GitHub Integrationen, da sie von den aktuellen Anwendungsdaten abhängen, die aus der Repositorenintegration importiert wurden. |
| GitHub CodeScan-Integration | Ruft Schwachstellen-Warnungen für Code-Scans von ab GitHub Repositorys für Sicherheitsschwachstellen und Codierungsfehler. Importierte Daten werden SAST-Ergebnissen in Ihrer Instanz zugeordnet. |
| GitHub Dependabot-Integration | Ruft abhängige Warnungen für Abhängigkeiten mit bekannten Schwachstellen aus Repositorys ab. Importierte Daten werden SCA-Ergebnissen in Ihrer Instanz zugeordnet. |
| GitHub Geheimnisscans | Ruft Geheimnisse aus dem Code Ihrer Organisation zusammen mit den Ergebnissen der Anwendungssicherheitstests ab. Die Daten werden SCA-Ergebnissen in Ihrer Instanz zugeordnet. |
| GitHub Speicherort Des Geheimen Scans | Ruft die Standort- und Zeilennummern für die gescannten Geheimnisse im Code Ihrer Organisation ab, um Ihre Entwickler bei der Korrektur zu unterstützen. |
Wird Hochgeladen SBOM Dateien in ServiceNow AI Platform® Von Ihrem GitHub Repositorys
Bestimmen Sie, ob SBOM Dateien, die in Ihren CI/CD-Pipelines (kontinuierliche Integration und kontinuierliche Bereitstellung/-Bereitstellung) generiert wurden, wurden erfolgreich in der Warteschlange in Ihrer eingefügt ServiceNow AI Platform® Instanz.
- Schützen Sie Ihre Umgebungen während der Softwareentwicklungszyklen mit vor potenziell schädlichen Komponenten GitHub Aktionen, die Sie über initiieren GitHub Umgebung.
- Holen Sie alle erforderlichen ab GitHub Aktionen für SBOM Laden Sie in den GitHub Marketplace hoch.
Die SBOM Anwendungen müssen hochgeladen werden SBOM Dateien. Weitere Informationen finden Sie unter Software Bill of Materials erkunden.
Importierte Daten werden angezeigt
Anwendungsdaten aus importiert GitHub Die Repository-Integration wird in der Tabelle „erkannte Anwendungen“ [sn_vul_App_Release] angezeigt. Führen Sie diese Integration zuerst aus.
Die Repos-Integration importiert Tags und Themen, die Sie für ein Repository in konfiguriert haben GitHub Account aus dem Menü „Einstellungen“. Alle anwenderdefinierten Eigenschaften befinden sich im Menü unter Ihrem Repository. Werte, die Sie für die Eigenschaften festlegen, werden als Schlüssel-Wert-Paare importiert. Weitere Informationen dazu, wo Sie diese Informationen in Ihrer Instanz anzeigen können, finden Sie unter Zeigen Sie an GitHub-Anwendungsschwachstellen-Integration Importausführungsstatus und importierte Repository-Daten.
Daten (Ergebnisse) aus importiert GitHub Die Dependabot-Integration wird in den folgenden Tabellen angezeigt.
- Erkannte Anwendungen [sn_vul_App_Release].
- Zusammenfassungen des Anwendungsschwachstellen-Scans [sn_vul_App_vul_Scan_summary].
- Angreifbare Anwendungselemente [sn_vul_App_vulnerable_item].
- Pakete [sn_vul_App_Package].
Importierte Daten aus der GitHub CodeScan-Integration werden in den folgenden Tabellen angezeigt.
- Erkannte Anwendungen [sn_vul_App_Release].
- Zusammenfassungen des Anwendungsschwachstellen-Scans [sn_vul_App_vul_Scan_summary].
- Anwendungsschwachstelleneinträge [sn_vul_App_vul_entry].
- Angreifbare Anwendungselemente [sn_vul_App_vulnerable_item].