GitHub Application Vulnerability Integration

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • L’important GitHub Application Vulnerability Integration importe des données de test de sécurité des applications statiques (SAST) et d’analyse de la composition logicielle (SCA) pour vous aider à afficher les alertes de vulnérabilité dans les référentiels de votre environnement GitHub.

    Intégration de vulnérabilité GitHub

    Le GitHub Application Vulnerability Integration collecte les données du scanner et les met à la disposition du Now Platform®. Il s’intègre facilement à la ServiceNow® Application Vulnerability Response fonctionnalité de mappage des Vulnerability Response vulnérabilités tierces et des alertes GitHub dans votre instance.

    L’environnement GitHub prend en charge plusieurs organisations. Ces organisations, à la fois sur site et d’entreprise, peuvent contenir différents départements, tels que Ingénierie, Qualité, Documentation, etc. Chaque organisation, à son tour, peut prendre en charge plusieurs référentiels. Cette intégration importe les données d’alerte de vulnérabilité à partir de ces référentiels. Les données importées sont traitées comme une application dans l’application Application Vulnerability Response . Lorsque les analyseurs détectent des vulnérabilités et génèrent des alertes pour les référentiels, des vulnérabilités sont créées dans Application Vulnerability Response.

    Un utilisateur d’exécution en tant que configuré existe pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. Système. Ne modifiez en aucun cas cette valeur.

    Le champ d’application requis pour extraire des données est le référentiel.

    Versions disponibles

    Version Notes de publication
    1.0 Application Vulnerability Response release notes

    Pour plus d’informations sur la compatibilité, consultez KB0856498 matrice de compatibilité de Vulnerability Response et changements de schéma de mise en production

    Intégrations GitHub

    Intégration Description
    Intégration GitHub CodeScan Récupère les alertes de vulnérabilité de l’analyse de code à partir des référentiels GitHub à la recherche de vulnérabilités de sécurité et d’erreurs de codage. Les données importées sont mappées aux résultats SAST de votre instance.
    Intégration GitHub Dependabot Récupère les alertes Dependabot pour les dépendances présentant des vulnérabilités connues à partir des référentiels. Les données importées sont mappées aux résultats SCA dans votre instance.

    Affichage des données importées

    Les données importées (résultats) de l’intégration GitHub Dependabot s’affichent dans les tables suivantes.

    • Applications détectées [sn_vul_app_release].
    • Synthèses de numérisation de vulnérabilité de l’application [sn_vul_app_vul_scan_summary].
    • Éléments vulnérables de l’application [sn_vul_app_vulnerable_item].
    • Paquets [sn_vul_app_package].

    Les données importées à partir de l’intégration GitHub CodeScan s’affichent dans les tables suivantes.

    • Applications détectées [sn_vul_app_release].
    • Synthèses de numérisation de vulnérabilité de l’application [sn_vul_app_vul_scan_summary].
    • Entrées de vulnérabilité de l’application [sn_vul_app_vul_entry].
    • Éléments vulnérables de l’application [sn_vul_app_vulnerable_item].