Configurez la GitHub Application Vulnerability Integration.

Rversion finale: Xanadu

Mis à jour 1 août 2024

4 minutes de lecture

Avant d’exécuter l’intégration sur votre instance, les étapes d’installation et de configuration doivent être terminées afin que le produit GitHub s’intègre correctement à Réponse aux vulnérabilités des applications. Cette application est disponible sous forme d’abonnement distinct.

Avant de commencer

Rôles requis :

Groupe d’utilisateurs du gestionnaire App-Sec
sn_vul.app_sec_manager requis pour la configuration OAuth

Procédure

Accédez à la Tout > Intégration de vulnérabilité de GitHub > Configuration.
Choisissez Authentification de base ou OAuth pour Type d’authentification.
- L’authentification de base nécessite un serveur MID pour les instances sur site. Générez le jeton d’API requis pour l’authentification de base à partir de votre GitHub compte.
- OAuth nécessite l’application OAuth, les informations d’identification et la configuration de la connexion décrites à la section Création d’informations d’identification OAuth 2.0 pour GitHub les applications : JWT pour le GitHub Application Vulnerability Integration.

Renseignez les champs en fonction du type que vous choisissez.

Authentification de base

Champ	Description
URL D'API	L’URL d’API appropriée GitHub pour entreprise ou sur site. L’URL par défaut est https://api.github.com. Sur site est votre GitHub URL de point de terminaison.
Jeton d'API	Jeton que vous avez généré à partir de votre GitHub console.
Type d'API	Sélectionner un élément : Organisation Choisissez cette option si vous souhaitez importer des données pour une organisation spécifique par nom. L’environnement GitHub prend en charge plusieurs organisations. Chaque organisation peut prendre en charge plusieurs référentiels. Si vous saisissez une organisation, seules les données de cette organisation sont importées. Entreprise L’environnement d’entreprise prend en charge plusieurs organisations. Choisissez cette option si vous souhaitez importer des données de vulnérabilité depuis toutes les organisations de votre environnement d’entreprise (Cloud).
Nom de l'organisation	Nom de votre GitHub référentiel. Seules les données de l’organisation que vous saisissez sont importées.
Serveur MID	Pour les instances sur site pour l’authentification de base, un serveur MID est requis.
Sélectionnez des options pour gérer la gestion des exceptions et les faux positifs.	Sélectionnez les options pour gérer automatiquement la gestion des exceptions et des faux positifs pour les éléments vulnérables d’applications (AVI) avec ServiceNow des workflows lors de l’importation. Gérer les exceptions dans ServiceNow Laissez cette option activée si vous souhaitez trier les AVI importés marqués pour l’état Différé . Les AVI dont les états sources sont normalement mappés à un état Différé dans votre instance sont à la place mappés à Ouvert. Vous demandez une exception à partir de l’enregistrement AVI. Gérer les faux positifs dans ServiceNow Laissez cette option activée si vous souhaitez trier les AVI importés avec des états source marqués comme Faux positif ou Faux positif potentiel. Les AVI avec ces états source , qui sont normalement mappés à un état Fermé dans votre instance, sont mappés à Ouvert. Vous demandez un faux positif à partir de l’enregistrement AVI. Décochez l’une des cases ou les deux si vous souhaitez conserver les états source importés à partir de votre scanner. Si cette option est désactivée, les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVI.
Instance d'intégration	Instance dans laquelle vous importez des données.

OAuth

Champ	Description
URL D'API	L’URL d’API appropriée GitHub pour entreprise ou sur site. L’URL par défaut est https://api.github.com. Sur site est votre GitHub URL de point de terminaison.
Connexion	La connexion que vous avez créée, décrite à la section Création d’informations d’identification OAuth 2.0 pour GitHub les applications : JWT pour le GitHub Application Vulnerability Integration.
Type d'API	Sélectionner un élément : Organisation Choisissez cette option si vous souhaitez importer des données pour une organisation spécifique par nom. L’environnement GitHub prend en charge plusieurs organisations. Chaque organisation peut prendre en charge plusieurs référentiels. Si vous saisissez une organisation, seules les données de cette organisation sont importées. Entreprise L’environnement d’entreprise prend en charge plusieurs organisations. Choisissez cette option si vous souhaitez importer des données de vulnérabilité depuis toutes les organisations de votre environnement d’entreprise (Cloud). Remarque : GitHub Les applications ne prennent pas en charge les API au niveau de l’entreprise.
Nom de l'organisation	Nom de l’organisation de vos GitHub référentiels. Seules les données des référentiels de l’organisation que vous saisissez sont importées.
Sélectionnez des options pour gérer la gestion des exceptions et les faux positifs.	Sélectionnez les options pour gérer automatiquement la gestion des exceptions et des faux positifs pour les éléments vulnérables d’applications (AVI) avec ServiceNow des workflows lors de l’importation. Gérer les exceptions dans ServiceNow Laissez cette option activée si vous souhaitez trier les AVI importés marqués pour l’état Différé . Les AVI dont les états sources sont normalement mappés à un état Différé dans votre instance sont à la place mappés à Ouvert. Vous demandez une exception à partir de l’enregistrement AVI. Gérer les faux positifs dans ServiceNow Laissez cette option activée si vous souhaitez trier les AVI importés avec des états source marqués comme Faux positif ou Faux positif potentiel. Les AVI avec ces états source , qui sont normalement mappés à un état Fermé dans votre instance, sont mappés à Ouvert. Vous demandez un faux positif à partir de l’enregistrement AVI. Décochez l’une des cases ou les deux si vous souhaitez conserver les états source importés à partir de votre scanner. Si cette option est désactivée, les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVI.

Sélectionnez Enregistrer et tester les informations d’identification.
Exécutez l’intégration du GitHub référentiel avant d’exécuter les autres intégrations.
Les autres GitHub intégrations dépendent des données d’application actuelles importées à partir de l’intégration de référentiel. Les données issues de l’intégration du référentiel sont stockées dans la table Applications détectées [sn_vul_app_release]. Consultez Afficher l’état de l’exécution de l’importation et les GitHub Application Vulnerability Integration données du référentiel importées pour plus d'informations.