Fortify 취약성 통합 구성

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • 인스턴스에서 통합을 실행하기 전에 설치 및 구성 단계를 완료하여 제품이 의 기능과 취약성 대응제대로 통합 애플리케이션 취약성 대응 되도록 Fortify 해야 합니다. 이 애플리케이션은 별도의 구독으로 사용할 수 있습니다.

    시작하기 전에

    필요한 역할: App-Sec 관리자

    설치하기 전에 다음 설정 검사 목록을 완료합니다. 이러한 설정 작업은 원활한 설치 및 구성을 위해 필요합니다.

    주:
    이 프로세스는 프로덕션 인스턴스에 다운로드된 애플리케이션에만 적용됩니다. 애플리케이션을 비프로덕션 또는 개발 인스턴스에 다운로드하는 경우에는 권리를 얻을 필요가 없습니다. 로 애플리케이션 활성화 ServiceNow Store계속 진행합니다.
    작업 설정 설명
    애플리케이션이 설치되고 활성화되었는지 취약성 대응 확인합니다.

    이 애플리케이션이 활성화되었는지 확인하려면 다음으로 이동하십시오. 구독 관리 > 구독 인스턴스에 있습니다. 목록에 조직이 구매한 구독이 표시됩니다.

    애플리케이션이 설치 및 활성화되지 않은 경우 을 참조하십시오 취약성 대응 설치.
    애플리케이션과의 Fortify 통합이 취약성 대응 설치되고 활성화되었는지 확인합니다.

    이 애플리케이션이 활성화되었는지 확인하려면 다음으로 이동하십시오. 구독 관리 > 구독 인스턴스에 있습니다. 목록에 조직이 구매한 구독이 표시됩니다.

    애플리케이션이 설치 및 활성화되지 않은 경우 을 참조하십시오 ServiceNow 와 Vulnerability Response 통합 설치Fortify.
    인스턴스에 필요한 ServiceNow 역할이 있는지 확인합니다. 예상 결과의 설치, 구성 및 검증에 필요한 역할은 다음과 같습니다.
    • 아직 할당되지 않은 경우 시스템 관리자 [admin]가 앱을 설치하고 사용자를 App-Sec 관리자 그룹에 할당합니다.
    • App-Sec 관리자는 구성을 감독하고 예상 결과를 검증합니다.

    Fortify 취약성 통합의 경우 API IDAPI 키를 준비합니다.

    API IDAPI 키를 얻으려면 연락처에 문의하십시오Fortify.

    프로시저

    1. 애플리케이션 취약성 통합을 설치할 Fortify 인스턴스에 로그인합니다.
    2. ServiceNow Store로 이동합니다.
    3. 에서 ServiceNow Store애플리케이션과의 Fortify 통합을 검색합니다취약성 대응.
    4. 애플리케이션 타일을 클릭합니다.
      설치 중인 애플리케이션에 대한 자세한 정보가 표시됩니다.
      주:
      해당하는 경우 다른 요구 사항종속성 섹션을 읽어보십시오.
    5. 앱 요청을 클릭하고 Now Support 로그인 자격 증명을 입력합니다.
    6. 가져오기를 클릭합니다.
    7. 인스턴스 이름인스턴스 이유를 입력하고 인스턴스 확인을 클릭합니다.
    8. 요청을 클릭합니다.
      자세한 설치 지침이 포함된 이메일을 받게 됩니다.
    9. 다음으로 이동 시스템 애플리케이션 > 애플리케이션.
    10. 애플리케이션을 찾아서 선택한 다음 설치를 클릭합니다.
      애플리케이션이 인스턴스에 자동으로 설치됩니다.
    11. 설치가 완료되면 다음으로 이동합니다. Fortify 취약성 통합 > FoD 구성.
    12. 양식에서 필드를 채웁니다.
      표 1. Fortify on Demand 구성 양식
      필드 설명
      API 루트 URL 사용자의 Fortify 인스턴스 URL입니다.
      API 키 API에 전송되는 고유 식별자입니다 Fortify .
      API 비밀 에서 제공하는 클라이언트 비밀입니다 Fortify.
      DAST 포함 DAST 검사의 취약성을 포함하는 옵션입니다. DAST 스캔은 전체 애플리케이션 동작의 취약성을 식별합니다.
      SAST 포함 SAST 검사의 취약성을 포함하는 옵션입니다. SAST 검사는 코드의 취약성을 식별합니다.
      ServiceNow에서 예외 및 긍정 오류 분류(Vulnerability Response v20.0부터 시작) 임포트 시 워크플로우를 통해 ServiceNow AVI에 대한 예외 관리 및 긍정 오류를 관리하는 옵션을 선택합니다. 이러한 옵션은 기본적으로 활성화됩니다. 사용 사례 예제는 다음 문서를 에서 지연 및 긍정 오류에 대한 상태 매핑 관리 애플리케이션 취약성 대응참조하십시오.
      다음에서 예외 관리 ServiceNow
      지연됨 상태로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      소스 상태가 있는 AVI는 일반적으로 인스턴스에서 지연됨 상태로 매핑됩니다. 대신 오픈에 매핑됩니다.

      AVI 기록 에서 예외를 요청합니다 .

      에서 긍정 오류 관리 ServiceNow
      소스 상태가 긍정 오류 또는 잠재적 긍정 오류로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      일반적으로 인스턴스에서 종결됨 상태로 매핑되는 이러한 소스 상태를 가진 AVI는 Open에 매핑됩니다.

      AVI 기록에서 긍정 오류를 요청합니다.
      • 스캐너에서 임포트한 소스 상태를 유지하려면 확인란 하나 또는 둘 다를 비활성화합니다.
      • 이러한 AVI는 임포트될 때 대상 상태 및 대상 이유 상태에 매핑되지만 예외 및 가양성 워크플로우에 의해 분류되지 않습니다. 예외 요청긍정 오류 작업은 AVI에 표시되지 않습니다.
      ServiceNow에서 환자 분류(Vulnerability Response v20.0 이전) 인스턴스에서 애플리케이션 취약성 분류를 ServiceNow 관리합니다.
      • 내에서 AVI ServiceNow를 분류하려면 확인란을 선택합니다. 이 옵션을 선택하면 AVI가 열림 상태로 임포트됩니다. 그런 다음 예외를 요청하거나 AVI를 가양성으로 표시할 수 있습니다.
      • 소스 상태, 즉 스캐너에서 임포트한 상태를 유지하려면 이 확인란이 선택되어 있지 않아야 합니다.
      주:
      긍정 오류로 표시예외 요청 옵션은 내에서 분류ServiceNow되는 AVI에 대해서만 사용할 수 있습니다.
    13. 자격 증명 저장 및 테스트를 선택합니다.

    다음에 수행할 작업

    환경에 도메인 분리 가져오기가 필요한 경우 문서를 참조하십시오 통합을 위해 도메인 분리 임포트 작성.

    초기 설치 시 자세한 지침은 을 참조하십시오 애플리케이션 취약성 대응 구성 .

    초기 설치 후 수정 사항은 를 Fortify 취약성 통합 수정 및 활동참조하십시오.