Réponse aux vulnérabilités Intégration aux Veracode notes de version

  • Rversion finale: Store
  • Mis à jour 30 janv. 2025
  • 12 minutes de lecture

    • Historique des versions de l’intégration Réponse aux vulnérabilités avec Veracode sur le ServiceNow Store .

    Important :
    Pour plus d'informations sur la configuration système requise et la compatibilité des familles, consultez la liste des applications sur le site Web ServiceNow Store.

    Historique de version

    Version 2.12.2 - Février 2025
    • Modifié : Vous pouvez désormais voir la date et l’heure précises auxquelles un élément vulnérable de conteneur (CVIT) a été découvert pour la première fois, ouvert, résolu et trouvé pour la dernière fois, ce qui garantit la clarté et la prise en compte des différents fuseaux horaires.
    • Correction : Les actions et les validations de l’interface utilisateur dans le formulaire CVIT s’alignent désormais de manière cohérente sur l’état actuel.
    Version 4.5.1 - Novembre 2024
    • Fixe:
      • Correctif fourni pour l’incohérence des données lors des mises à jour d’analyse des résultats de l’analyse de la composition logicielle (SCA).
      • Correction de la gestion des erreurs pour résoudre les erreurs de nouvelle tentative et d’omission spécifiquement pour les projets Veracode Link et les intégrations SBOM Veracode. Pour prendre en charge les applications supprimées pour ces deux intégrations, les utilisateurs peuvent choisir d’ignorer les erreurs 403 et 404 et de réessayer les erreurs 50x.
    • Changé:
      • Vous pouvez sélectionner l’analyse prioritaire pour les mises à jour finales des données de résultats SCA importées de Veracode. Sur la page de configuration de Veracode, « Par défaut » est la valeur définie jusqu’à ce que vous la modifiiez. Vous devez cocher la case « Inclure les résultats SCA » et en choisir un dans la liste :
        • Agent : les résultats de l’analyse de l’agent effectuent les dernières mises à jour des résultats SCA
        • Téléchargement : les résultats de l’analyse de téléchargement effectuent les dernières mises à jour des résultats SCA
        • Par défaut : la dernière analyse traitée, soit l’analyse de l’agent, soit l’analyse de chargement, effectue les dernières mises à jour des résultats SCA
    • Remarque : Si vous ne cochez pas la case « Inclure les résultats SCA » sur la page de configuration, l’analyse que vous avez sélectionnée dans la liste n’est pas utilisée et la dernière analyse traitée effectue les dernières mises à jour.
    • Prise en charge de l’ajout et de la suppression par Veracode d’applications importées à partir de la Now Platform.
    • Définissez la valeur de la propriété système [sn-vul-veracode.app-mark-unseen-apps-inactive] sur « vrai » pour éviter les erreurs si la plateforme demande des applications déjà supprimées par Veracode. Si cette propriété est définie sur « vrai » (activée), l’importation réussie de l’intégration de la liste des applications marque toutes les applications invisibles dans la plateforme comme « inactives ».
    Version 4.4.2 - Octobre 2024
    • Correctif fourni pour la non-concordance des données lors des mises à jour d’analyse des résultats de l’analyse de la composition logicielle (SCA).
    • Vous pouvez sélectionner l’analyse prioritaire pour les mises à jour finales des données de résultats SCA importées de Veracode. Sur la page de configuration de Veracode, « Par défaut » est la valeur définie jusqu’à ce que vous la modifiiez. Vous devez cocher la case Inclure les résultats SCA et en choisir un dans la liste :
      • Agent : les résultats de l’analyse de l’agent effectuent les dernières mises à jour des résultats SCA
      • Téléchargement : les résultats de l’analyse de téléchargement effectuent les dernières mises à jour des résultats SCA
      • Par défaut : la dernière analyse traitée, soit par l’agent, soit par le chargement, effectue les dernières mises à jour des résultats SCA
    • Remarque : Si vous ne cochez pas la case Inclure les résultats SCA sur la page de configuration, l’analyse que vous avez sélectionnée dans la liste n’est pas utilisée et la dernière analyse traitée effectue les dernières mises à jour.
    • Prenez en charge l’ajout et la suppression par Veracode d’applications importées depuis la Now Platform.
      • Définissez la valeur de la propriété système [sn-vul-veracode.app-mark-unseen-apps-inactive] sur « vrai » pour éviter les erreurs si la plateforme demande des applications déjà supprimées par Veracode. Si cette propriété est définie sur « vrai » (activée), l’importation réussie de l’intégration de la liste des applications marque toutes les applications invisibles dans la plateforme comme « inactives ».
    • Correction de la gestion des erreurs pour résoudre les erreurs de nouvelle tentative et d’omission spécifiquement pour les projets Veracode Link et les intégrations SBOM Veracode. Pour prendre en charge les applications supprimées pour ces deux intégrations, les utilisateurs peuvent choisir d’ignorer les erreurs 403 et 404 et de réessayer les erreurs 50x.
    Version 4.3.3 - Août 2024
    • Nouveau :
      • Améliorations apportées à la page de configuration de l’intégration des vulnérabilités Veracode :
        • Les paramètres de région d’API et de délai d’expiration de l’API sont pris en charge.
        • Si vous avez installé SBOM Response, vous avez la possibilité d’inclure les vulnérabilités trouvées par Veracode pour les fichiers SBOM que vous chargez.
      • Vericode' est mappé au champ Source pour les enregistrements de la table Nomenclature [sn_sbom_doc] pour les fichiers SBOM Veracode que vous chargez.
    • Fixe:
      • Modifications apportées au mappage des données pour prendre en charge les améliorations suivantes :
        • Les champs Date de résolution de la source et Dernier trouvé sont renseignés sur les éléments vulnérables de l’application (AVIT).
        • L’aptitude de filtrage des attributs d’informations supplémentaires de la source conserve les paires clé-valeur dans un champ de chaîne.
    Version 4.2.7 - Juin 2024
    Nouveau : la fermeture automatique des éléments vulnérables de l’application est prise en charge pour les intégrations Veracode.
    Version 4.2.4 - Mai 2024
    • Nouveau :
      • Sélectionnez « Obtenir plus de détails » sur les éléments vulnérables de l’application (AVIT) Veracode dans la table Élément vulnérable de l’application (sn_vul_app_vulnerable_item) ou dans les vues de listes dans les espaces de travail Réponse aux vulnérabilités pour mettre à jour les AVIT Veracode avec les informations suivantes de Veracode :
        • Les détails de la demande source HTTP et de la réponse source pour les analyses DAST sont affichés dans la liste connexe « Demande/Réponse » HTTP.
        • Les recommandations de solutions de Veracode sont affichées dans la liste connexe « Résultats ».
        • Dans les espaces de travail Réponse aux vulnérabilités, vous pouvez afficher la demande source HTTP, la réponse source et les recommandations dans l’onglet « Détails ».
        • La colonne Description est prise en charge dans la table Élément vulnérable de l’application (sn_vul_app_vulnerable_item).
      • Affichez des détails tels que les temps de traitement totaux, les temps moyens des processus avant et après l’exécution de l’intégration et les rapports sur les enregistrements d’exécution de l’intégration.
    Version 4.1.11 - Mars 2024
    Corrigé : les références d’applications d’entreprise sont résolues à l’aide des données d’application découvertes pendant l’exécution de l’intégration de nomenclatures logicielles (SBOM) Veracode et mappées aux entités BOM comme prévu.
    Version 4.1.8 - Février 2024
    • Nouveau :
      • Vous pouvez réappliquer vos règles de recherche d’éléments de configuration (CI) pour mettre à jour les CI existants (applications analysées et modèles de produits).
      • Créez manuellement des tâches de rattrapage (AVUL) pour les éléments vulnérables de l’application (AVIT) à partir d’enregistrements de tâche de rattrapage dans l’onglet Configuration du groupe.
    • Fixe:
      • Les améliorations apportées à l’enregistrement d’élément vulnérable d’application (AVIT) vous permettent d’afficher :
        • Informations sur la dépendance et l’effort de rattrapage.
        • Valeurs de vulnérabilité renseignées comme prévu.
    Version 4.1.6 - Décembre 2023
    Correction : les enregistrements ne peuvent pas être créés manuellement dans la table Projets Veracode Link. Exécutez l’intégration du projet Veracode Link pour extraire les données.
    Version 4.1.3 - Novembre 2023

    Nouveau :

    • Nouveau :
      • Un paramètre de filtre sur la page de configuration vous permet de répertorier uniquement les enregistrements qui correspondent aux valeurs de gravité fournies par Veracode. Vous pouvez ajouter plusieurs valeurs de gravité au filtre.
      • Le temps tampon est un paramètre configurable avec la propriété système sn_vul_veracode.import_starttime_buffer. Le tampon, en heures, est soustrait de l’heure de début (delta_start_time). Le scanner obtient des résultats à la nouvelle heure de début du delta dérivé.
      • Les options Gérer les exceptions dans ServiceNow et Gérer les faux positifs dans ServiceNow sur la page de configuration de Veracode peuvent vous aider à trier les vulnérabilités de vos applications importées avec les workflows ServiceNow. Ces options sont activées par défaut.
        • Gérez les exceptions dans ServiceNowtriages pour les éléments vulnérables de l’application (AVI) avec le workflow de gestion des exceptions de ServiceNow. Les AVI passent à Ouvrir et vous demandez des exceptions à partir des enregistrements AVI. Désactivez l’option permettant de conserver les états Source sur les AVI importés à partir de Veracode.
        • Gérer les faux positifs dans ServiceNow Trie les faux positifs avec le workflow Faux positif de ServiceNow. Les AVI passent à Ouvrir et vous demandez des faux positifs à partir d’enregistrements AVI. Désactivez l’option permettant de conserver les états Source sur les AVI importés à partir de Veracode.
    • Changé : Plus de combinaisons prises en charge pour le mappage d’état permettent au système de mapper les importations de scanner à leurs états associés dans votre instance en fonction de vos paramètres de triage pour Gérer les exceptions dans ServiceNow et Gérer les faux positifs dans ServiceNow.
    • Correction : Les champs des données de la source d’un ID AVI, ainsi que la combinaison de l’ID d’application, de l’ID Componet et de l’ID CVE sont renseignés dans les champs comme prévu. Les données sont stockées pour les projets SCA liés et les scores d’exploitation sources.
    Version 4.0.4 - Septembre 2023
    Correction : L’API de reporting Veracode prend en charge les demandes pendant six mois. L’intégration des éléments vulnérables importe les données pour la date « Importation depuis » pour une fenêtre de six mois, comme prévu.
    Version 4.0.3 - Août 2023
    Nouveau :
    • Les intégrations suivantes ont été ajoutées pour importer des données via une API REST JSON : Liste des applications Veracode, Synthèse de l’analyse Veracode, Élément vulnérable de l’application. Les versions de ces intégrations qui utilisaient une API basée sur XML sont obsolètes.
    • L’intégration des catégories Veracode importe les données de catégorie.
    • Les intégrations Veracode prennent en charge les importations de vulnérabilités SCA (Software Composition Analysis).
    • Les importations manuelles des résultats des tests de pénétration Veracode sont prises en charge. Ces résultats de test sont des résultats manuels de Veracode que vous configurez pour l’importation dans l’instance d’intégration. Ils ne sont pas liés aux évaluations de test que vous demandez dans Réponse aux vulnérabilités de l’application.
    • L’intégration CWE de Veracode importe des informations sur les menaces et des recommandations de correction pour les vulnérabilités de Veracode. Vos données de vulnérabilité ne sont pas dupliquées si vous avez activé cette intégration et activé l’intégration complète CWE dans Vulnerability Response.
    • L’intégration de la nomenclature logicielle (SBOM) Veracode importe des nomenclatures logicielles de Veracode dans CycloneDX JSON fomat. Vous devez installer les applications SBOM disponibles dans le ServicNow Store pour analyser et afficher les données SBOM.
    • L’intégration DevOps de Veracode permet aux utilisateurs disposant de la licence Vélocité de changement DevOps d’afficher des résumés d’analyse tiers de Security Operations dans DevOps. Cette intégration est répertoriée dans la table Intégrations de vulnérabilité [sn_vul_integration_list], mais elle n’a aucun impact sur la réponse à la vulnérabilité de l’application.
    • Vous pouvez configurer les paramètres suivants dans l’onglet Paramètres d’instance d’intégration :
      • Importer manuellement : importer manuellement les résultats des tests de pénétration à partir de Veracode.
      • import_sca : importez les vulnérabilités SCA.
      • État : importe les enregistrements à l’état « Ouvert » ou « Fermé ». Si vous laissez ce champ vide, vous importez des enregistrements pour les deux états.
      • policy_sandbox : entrez « Politique » ou « Bac à sable » pour importer les résultats de vos environnements de tests.
      • policy_rule_passed : importer des enregistrements qui ont réussi une règle de politique (vrai).
    • Dans la table Synthèses de l’analyse de vulnérabilité de l’application [sn_vul_app_vul_scan_summary], utilisez l’icône de configuration (engrenage) pour afficher les données de nouvelles colonnes.
    Version 4.0.3 - Août 2023 (Vancouver)
    Nouveau :
    • Les intégrations suivantes ont été ajoutées pour importer des données via une API REST JSON : Liste des applications Veracode, Synthèse de l’analyse Veracode, Élément vulnérable de l’application. Les versions de ces intégrations qui utilisaient une API basée sur XML sont obsolètes.
    • L’intégration des catégories Veracode importe les données de catégorie.
    • Les intégrations Veracode prennent en charge les importations de vulnérabilités SCA (Software Composition Analysis).
    • Les importations manuelles des résultats des tests de pénétration Veracode sont prises en charge. Ces résultats de test sont des résultats manuels de Veracode que vous configurez pour l’importation dans l’instance d’intégration. Ils ne sont pas liés aux évaluations de test que vous demandez dans Réponse aux vulnérabilités de l’application.
    • L’intégration CWE de Veracode importe des informations sur les menaces et des recommandations de correction pour les vulnérabilités de Veracode. Vos données de vulnérabilité ne sont pas dupliquées si vous avez activé cette intégration et activé l’intégration complète CWE dans Vulnerability Response.
    • L’intégration de la nomenclature logicielle (SBOM) Veracode importe des nomenclatures logicielles de Veracode dans CycloneDX JSON fomat. Vous devez installer les applications SBOM disponibles dans le ServicNow Store pour analyser et afficher les données SBOM.
    • L’intégration DevOps de Veracode permet aux utilisateurs disposant de la licence Vélocité de changement DevOps d’afficher des résumés d’analyse tiers de Security Operations dans DevOps. Cette intégration est répertoriée dans la table Intégrations de vulnérabilité [sn_vul_integration_list], mais elle n’a aucun impact sur la réponse à la vulnérabilité de l’application.
    • Vous pouvez configurer les paramètres suivants dans l’onglet Paramètres d’instance d’intégration :
      • Importer manuellement : importer manuellement les résultats des tests de pénétration à partir de Veracode.
      • import_sca : importez les vulnérabilités SCA.
      • État : importe les enregistrements à l’état « Ouvert » ou « Fermé ». Si vous laissez ce champ vide, vous importez des enregistrements pour les deux états.
      • policy_sandbox : entrez « Politique » ou « Bac à sable » pour importer les résultats de vos environnements de tests.
      • policy_rule_passed : importer des enregistrements qui ont réussi une règle de politique (vrai).
    • Dans la table Synthèses de l’analyse de vulnérabilité de l’application [sn_vul_app_vul_scan_summary], utilisez l’icône de configuration (engrenage) pour afficher les données de nouvelles colonnes.
    Version 3.5.0 - Février 2023
    Correction : les problèmes de pagination liés à l’intégration JSON de la liste des applications Veracode ont été résolus.
    Version 3.4.0 - Novembre 2022
    • Nouveau : introduction d’une nouvelle intégration, Veracode Application List JSON Integration, qui prend en charge l’ingestion delta.
    • Modifié : Vous pouvez désormais importer les vulnérabilités des applications et le résumé de l’analyse uniquement à partir des applications analysées à partir de la dernière importation depuis la date.
    Version 3.3.0 - Mars 2022
    Nouveau : ajout de la possibilité d’effectuer un triage dans ServiceNow. Activez cette option pour demander des exceptions ou marquer des AVI comme faux positifs. Utilisez la nouvelle logique de mappage d’état pour les AVI.
    Version 3.2.0 - Février 2022
    Aucune nouvelle fonctionnalité ou mise à jour n’est incluse dans cette version. Cette version garantit que les fonctionnalités de la dernière version sont compatibles avec la version de la famille San Diego.
    Version 3.1.0 - Octobre 2021
    Numéro de version mis à jour pour les applications dépendantes.
    Version 3.0.1 - Juin 2021
    Nouveau : ingérez les résultats SAST pour détecter les risques de sécurité dans vos applications et vous aider à corriger ces vulnérabilités.
    Version 2.0.0 - Février 2021
    Nouveau : champs supplémentaires tels que État SDLC, Résumé de la vulnérabilité, Explication de vulnérabilité et Recommandation, importés et mappés pour s’afficher sur le formulaire d’élément vulnérable de l’application.
    Version 1.0.1 - Décembre 2020
    Correctifs.
    Version 1.0.0 - Octobre 2020
    • Nouveau :
      • Version initiale de l’intégration de Vulnerability Response avec Veracode
      • Prend en charge le test dynamique de sécurité des applications (DAST)