Configurez la GitHub Application Vulnerability Integration.

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Avant d’exécuter l’intégration sur votre instance, les étapes d’installation et de configuration doivent être terminées afin que le produit GitHub s’intègre correctement à Application Vulnerability Response. Cette application est disponible sous forme d’abonnement distinct.

    Avant de commencer

    Le champ d’application requis pour extraire des données est le référentiel. Vous définissez ce paramètre dans Créez les enregistrements requis pour l’authentification OAuth pour le GitHub Application Vulnerability Integration.

    Rôles requis :
    • Groupe d’utilisateurs App-Sec Manager
    • administrateur requis pour la configuration OAuth

    Procédure

    1. Accédez à la Tous > Intégration de vulnérabilité de GitHub > Configuration.
    2. Renseignez les champs.
      Champ Description
      Type d'authentification Sélectionner un élément :
      Authentification de base
      L’authentification de base nécessite un MID Server pour les instances sur site.
      OAuth
      Cette option nécessite les informations d’identification OAuth et la configuration de la connexion décrites à la section Créez les enregistrements requis pour l’authentification OAuth pour le GitHub Application Vulnerability Integration.
      URL D'API Saisissez l’URL de l’API GitHub appropriée pour l’entreprise ou sur site. L’URL par défaut pour Entreprise est https://api.github.com. « Sur site » est l’URL de votre point de terminaison GitHub.
      Jeton d’API (authentification de base) Le jeton que vous avez généré à partir de votre console GitHub.
      Connexion (OAuth) L’enregistrement d’alias de connexion et d’informations d’identification référencé que vous avez créé dans Préparation de la GitHub Application Vulnerability Integration. Cet enregistrement contient des informations sur un enregistrement de connexion et un alias de connexion. Ce formulaire vous donne également la possibilité de sélectionner un MID Server, car l’option MID Server n’est pas visible pour OAuth sur cette page de configuration.
      Type d’API (authentification de base) Sélectionner un élément :
      Organisation
      Choisissez cette option si vous souhaitez importer des données de vulnérabilité pour une organisation spécifique par nom. L’environnement GitHub prend en charge plusieurs organisations. Chaque organisation peut prendre en charge plusieurs référentiels. Si vous saisissez une organisation, seules les données de cette organisation sont importées.
      Entreprise
      L’environnement d’entreprise prend en charge plusieurs organisations. Choisissez cette option si vous souhaitez importer des données de vulnérabilité à partir de toutes les organisations de votre environnement d’entreprise.
      Nom de l'organisation Le nom de l’organisation de GitHub. Vous affichez une liste de vos organisations dans votre console GitHub.
      Serveur MID (authentification de base) Pour les instances sur site, un MID Server est nécessaire.
      Sélectionnez les options pour gérer la gestion des exceptions et les faux positifs.

      Sélectionnez les options pour gérer automatiquement la gestion des exceptions et les faux positifs pour les éléments vulnérables des applications (AVI) avec ServiceNow des workflows automatiquement lors de l’importation.

      Gérer les exceptions dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés marqués pour l’état Différé .

      Les AVI avec des états source qui sont normalement mappés vers un état Différé dans votre instance sont plutôt mappés vers Ouvert.

      Vous demandez une exception à partir de l’enregistrement AVI.

      Gérer les faux positifs dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés dont l’état source est marqué comme faux positif ou faux positif potentiel.

      Les AVI avec ces états source , qui sont normalement mappés vers un état Fermé dans votre instance, sont mappés vers Ouvert.

      Vous demandez un faux positif à partir de l’enregistrement AVI.
      • Décochez l’une des cases ou les deux si vous souhaitez conserver les états source importés à partir de votre scanner.
      • Si cette option est désactivée, les actions de demande d’exception et de faux positif ne sont pas visibles sur les AVI.
    3. Sélectionnez Enregistrer et tester les informations d’identification.