Veracode Vulnerability Integration
L’intégration Vulnerability Response à Veracode l’application utilise des Veracode données importées du produit pour vous aider à déterminer l’impact et la priorité des failles dans votre code.
Veracode Vulnerability Integration
Le Veracode produit collecte les données DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing) et les scanners manuels, et les met à la disposition du Now Platform®. Il s’intègre facilement à la Application Vulnerability Response fonctionnalité de mappage des Vulnerability Response vulnérabilités tierces, enrichissant ainsi les données de votre instance.
À partir de la version 19.0 de , vous pouvez importer des données sur les vulnérabilités et les vulnérabilités deSBOM l’analyse de Vulnerability Responsela composition logicielle (SCA) pour Nomenclature logicielle vous aider à identifier les faiblesses de vos applications logicielles. Pour plus d'informations, consultez Explorer Nomenclature logicielle.
Une API partagée ingère les données DAST, SAST, SCA et les résultats des tests d’intrusion manuels.
Un utilisateur d’exécution en tant que configuré existe pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. Système. Ne modifiez en aucun cas cette valeur.
Chaque jour, des tâches planifiées invoquent automatiquement les intégrations dans l’ordre dans lequel elles sont répertoriées. Vous pouvez également exécuter manuellement des tâches planifiées individuelles. Les tâches planifiées simplifient le cycle de vie de correction des vulnérabilités en gardant l’instance synchronisée avec d’autres systèmes de gestion des vulnérabilités.
Versions disponibles
| Version | Notes de publication |
|---|---|
Veracode 4.1 Veracode 4.0 |
Application Vulnerability Response release notes Pour plus d’informations sur la compatibilité, consultez KB0856498 matrice de compatibilité de Vulnerability Response et changements de schéma de mise en production |
Groupe d’utilisateurs et rôles
est Veracode Vulnerability Integration installé par un administrateur système [admin] et configuré par un membre du groupe App-Sec Manager. Consultez Application Vulnerability Response Groupes d’utilisateurs et rôles pour plus d'informations.
Veracode Vulnerability Integration
Pour afficher les intégrations de Veracode vulnérabilité, accédez à .
Les intégrations suivantes sont incluses dans le système de base.
| Intégration | Description |
|---|---|
| À partir de la v4.1 : Veracode Intégration des projets Link | Cette intégration est activée par défaut. Récupère tous les projets associés pour chaque application à partir de Veracode. Les applications peuvent avoir plusieurs projets Veracode . Les données importées à partir de cette intégration sont affichées sur les enregistrements suivants :
|
| À partir de la version 4.0 : Veracode Application List Integration (JSON) | Cette intégration est désactivée par défaut. Récupère les données du scanner d’application Veracode (vulnérabilités, métadonnées) et enrichit vos données d’application. Récupère les enregistrements d’analyse Veracode via une API basée sur JSON. |
| À partir de la version 4.0 : Veracode Application List Integration (XML) | Cette intégration est désactivée par défaut. La version XML de cette intégration a été désactivée (déconseillée). Récupère les données du scanner d’application Veracode (vulnérabilités, métadonnées) et enrichit vos données d’application. Cette intégration est définie pour s’exécuter quotidiennement à 00 :00 :00. Remarque : Une API basée sur JSON à partir de Veracode est utilisée pour récupérer la liste des applications. Cette API importe la « date de dernière vérification de conformité de la politique » pour ces applications, indiquant la date de la dernière analyse de ces applications par Veracode. |
| À partir de la version 4.0 : Veracode Nomenclature logicielle (SBOM) Intégration | Cette intégration est activée par défaut. Importe les Nomenclature logicielle fichiers au format CycloneDX générés par Veracode et les met en file d’attente pour analyse dans votre instance. Les applications doivent être Nomenclature logicielle installées pour importer ces données et les visualiser. |
| À partir de la version 4.0 : Veracode intégration du résumé de l’analyse (JSON) | Cette intégration est désactivée par défaut. Récupère les enregistrements d’analyse Veracode via une API basée sur JSON. Cette intégration remplace l’intégration de l’API basée sur XML. Il est chaîné et suit l’intégration de liste d’applications lorsqu’il Veracode est activé. |
| À partir de la version 4.0 : Veracode Synthèse de l’analyse (XML) | Cette intégration est désactivée par défaut. La version XML de cette intégration a été désactivée (déconseillée). Récupère les enregistrements d’analyse à partir de Veracode. Cette intégration est chaînée et suit l’intégration de liste d’applications lorsqu’elle Veracode est activée. Remarque : Suit automatiquement l’intégration de la liste d’applications Veracode lorsqu’elle est activée. Avec la « Date de dernière vérification de conformité de politique » pour les applications issues de Veracode, cette intégration récupère les données uniquement pour les applications qui ont été analysées après la « delta_start_time » de cette intégration. |
| À partir de la version 4.0 : Veracode Intégration JSON d’un élément vulnérable de l’application | Cette intégration est désactivée par défaut. Récupère les résultats de l’analyse avec plus de données de vulnérabilité que l’intégration basée sur XML à partir de Veracode. Il insère des AVI et enrichit vos données de vulnérabilité tierces. |
| À partir de la version 4.0 : Veracode Application Vulnerable Item Integration (XML) | Cette intégration est désactivée par défaut. Récupère les résultats de l’analyse Veracode, insère des AVI et enrichit vos données de vulnérabilité tierces. Par défaut, si l’enregistrement du scanner est à l’état Fermé, les AVI ne sont pas créés. Les AVI existants sont toujours mis à jour. Cette intégration est chaînée et suit l’intégration Synthèse de l’analyse lorsqu’elle Veracode est activée. L’API basée sur XML est déconseillée pour l’intégration JSON du résumé de l’analyse Veracode . Remarque : Suit automatiquement l’intégration du résumé de l’analyse Veracode . Avec la « Date de dernière vérification de conformité de politique » pour les applications issues de Veracode, cette intégration récupère les données uniquement pour les applications qui ont été analysées après la « delta_start_time » de cette intégration. |
| À partir de la version 4.0 : Veracode Intégration des catégories | Cette intégration est désactivée par défaut. Récupère les données de catégories améliorées à partir de Veracode. |
| À partir de la version 4.0 : Veracode intégration CWE | Cette intégration est activée par défaut. Récupère les Veracode données CWE (Common Weakness Enumeration) spécifiques pour obtenir des informations sur les menaces et formuler des recommandations de rattrapage. Ces données sont renseignées et mises à jour dans les enregistrements d’entrée de vulnérabilité de l’application. Cette intégration CWE fonctionne indépendamment de la tâche planifiée pour l’intégration CWE Comprehensive 2000 que vous activez pour l’application Vulnerability Response . Vos données ne sont pas dupliquées si les intégrations CWE et CWE Veracode Comprehensive 2000 sont activées. |
| À partir de la version 4.0 : Veracode intégration DevOps | Cette intégration est désactivée par défaut. L’intégration est visible dans la liste Intégrations de vulnérabilité de l’application dans Application Vulnerability Response. Si vous disposez d’une licence DevOps Change Velocity, cette fonctionnalité est structurée de sorte que les utilisateurs DevOps n’aient pas besoin d’une licence SecOps pour afficher les détails récapitulatifs des analyses de vulnérabilité tierces. Il n’y a aucune incidence ni modification sur Application Vulnerability Response. |
Pour les états d’exécution de l’intégration, Afficher l’état de l’exécution de l’importation de l’intégration de vulnérabilité de l’application Veracodevoir .
Pour afficher les données des vulnérabilités tierces, reportez-vous à la section Afficher les bibliothèques de vulnérabilités.