Veracode Vulnerability Integration
L’intégration Réponse aux vulnérabilités avec Veracode l’application utilise des Veracode données importées du produit pour vous aider à déterminer l’impact et la priorité des failles dans votre code.
Veracode Vulnerability Integration
Le Veracode produit collecte des données DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing) et des scanners manuels, et les met à la disposition du Now Platform®. Il s’intègre facilement à la Réponse aux vulnérabilités des applications fonctionnalité de mappage des Réponse aux vulnérabilités vulnérabilités tierces, enrichissant ainsi les données de votre instance.
À partir de la version 19.0 de , vous pouvez importer des données de vulnérabilité de l’analyse de Réponse aux vulnérabilitéscomposition logicielle (SCA) et Nomenclature logicielleSBOM() pour vous aider à identifier les faiblesses de vos applications logicielles. Pour plus d'informations, consultez Explorer Nomenclature logicielle.
Une API partagée ingère les données DAST, SAST, SCA et les résultats des tests d’intrusion manuels.
Il existe un utilisateur d’exécution en tant que configuré pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. Système. Ne modifiez en aucun cas cette valeur.
Chaque jour, les travaux planifiés invoquent automatiquement les intégrations dans l’ordre où elles sont répertoriées. Vous pouvez également exécuter manuellement des travaux planifiés individuels. Les travaux planifiés simplifient le cycle de vie du rattrapage des vulnérabilités en gardant l’instance synchronisée avec d’autres systèmes de gestion des vulnérabilités.
Obtenir plus de détails à partir de Veracode
À partir de la version 4.2, sélectionnez Obtenir plus de détails sur les éléments vulnérables de l’application (AVIT) qui ont Veracode comme source dans la table Élément vulnérable de l’application [sn_vul_app_vulnerable_item] ou à partir des vues de listes dans les espaces de travail Vulnerability Response pour afficher les données suivantes Veracode .
- Les détails de la demande source HTTP et de la réponse source pour les analyses de Test dynamique de sécurité des applications (DAST) sont affichés dans la liste connexe Demande/réponse HTTP.
- Les recommandations de solutions de Veracode sont affichées dans la liste connexe Résultats.
- La demande source HTTP, la réponse source et les recommandations sont affichées dans l’onglet Détails dans les espaces de travail Vulnerability Response Réponse aux vulnérabilités .
- La colonne Description est prise en charge dans la table Élément vulnérable de l'application [sn_vul_app_vulnerable_item].
Versions disponibles
| Version | Notes de publication |
|---|---|
| Veracode v4.3 Veracode v4.2 Veracode v4.1 |
Application Vulnerability Response release notes Pour plus d’informations sur la compatibilité, consultez Matrice de compatibilité de KB0856498 Vulnerability Response et Changements de schéma de mise en production |
Groupe d’utilisateurs et rôles
Il Veracode Vulnerability Integration est installé par un administrateur système [admin] et configuré par un membre du groupe App-Sec Manager. Consultez Réponse aux vulnérabilités des applications Groupes et rôles d’utilisateurs pour plus d'informations.
Veracode Vulnerability Integration
Pour afficher les intégrations de Veracode vulnérabilité, accédez à .
Les intégrations suivantes sont incluses dans le système de base.
| Intégration | Description |
|---|---|
| À partir de la version 4.1 : Veracode Intégration des projets Link | Cette intégration est activée par défaut. Récupère tous les projets associés pour chaque application à partir de Veracode. Les applications peuvent avoir plusieurs projets dans l’application Veracode . Les données importées de cette intégration sont affichées sur les enregistrements suivants :
|
| Veracode Intégration de liste d’applications (JSON) | Cette intégration est désactivée par défaut. Récupère les données du scanner d’application (vulnérabilités Veracode , métadonnées) et enrichit vos données d’application. Récupère les enregistrements d’analyse Veracode via une API basée sur JSON. |
| Veracode Intégration de liste d’applications (XML) | Cette intégration est désactivée par défaut. La version XML de cette intégration a été désactivée (déconseillée). Récupère les données du scanner d’application (vulnérabilités Veracode , métadonnées) et enrichit vos données d’application. Cette intégration est définie pour s’exécuter quotidiennement à 00:00:00. Remarque : Une API basée sur JSON est Veracode utilisée pour récupérer la liste des applications. Cette API importe la « date de la dernière vérification de conformité de la politique » pour ces applications, indiquant quand ces applications ont été analysées pour la dernière fois par Veracode. |
| Veracode Nomenclature logicielle (SBOM) Intégration | La version 4.3 de la Veracode Vulnerability Integration inclut les améliorations suivantes avec Veracode SBOM les fichiers :
Cette intégration est activée par défaut. À partir de la version 4.2, importe les Nomenclature logicielle fichiers aux formats CycloneDX et SPDX générés par Veracode et les mettent en file d’attente pour analyse dans votre instance. Vous devez avoir installé les Nomenclature logicielle applications pour importer ces données et les visualiser. |
| Veracode Intégration de synthèse de l’analyse (JSON) |
Cette intégration est désactivée par défaut. Récupère les enregistrements d’analyse Veracode via une API basée sur JSON. Cette intégration remplace l’intégration de l’API basée sur XML. Il est chaîné et suit l’intégration de la liste des applications lorsqu’il Veracode est activé. |
| Veracode Synthèse de l’analyse (XML) |
Cette intégration est désactivée par défaut. La version XML de cette intégration a été désactivée (déconseillée). Récupère les enregistrements d’analyse à partir de Veracode. Cette intégration est chaînée et suit l’intégration de liste d’applications lorsqu’elle Veracode est activée. Remarque :
Suit automatiquement l’intégration de la liste d’applications Veracode lorsqu’elle est activée. Avec la « Dernière date de vérification de conformité de politique » pour les applications de Veracode, cette intégration récupère uniquement les données des applications qui ont été analysées après la « delta_start_time » de cette intégration. |
| Veracode Intégration JSON d’élément vulnérable de l’application |
À partir de la version 4.2, affichez des détails tels que les durées totales de traitement, les durées moyennes des processus d’exécution avant et après l’intégration, et des rapports sur les enregistrements d’exécution de l’intégration pour les intégrations d’éléments vulnérables d’application. Cette intégration est désactivée par défaut. Récupère les résultats de l’analyse avec plus de données de vulnérabilité que l’intégration basée sur XML à partir de Veracode. Il insère les AVI et enrichit vos données de vulnérabilité tierces. |
| Veracode Intégration d’éléments vulnérables d’applications (XML) |
À partir de la version 4.2, affichez des détails tels que les durées totales de traitement, les durées moyennes des processus d’exécution avant et après l’intégration, et des rapports sur les enregistrements d’exécution de l’intégration pour les intégrations d’éléments vulnérables d’application. Cette intégration est désactivée par défaut. Récupère les résultats d’analyse de Veracode, insère les éléments vulnérables de l’application (AVIT) et enrichit vos données de vulnérabilité tierces. Par défaut, si l’enregistrement du scanner est à l’état Fermé, les AVIT ne sont pas créés. Les AVIT existants sont toujours mis à jour. Cette intégration est chaînée et suit l’intégration Synthèse de l’analyse lorsqu’elle Veracode est activée. L’API basée sur XML est déconseillée pour l’intégration JSON du résumé de l’analyse Veracode . Remarque : Suit automatiquement l’intégration de la synthèse de l’analyse Veracode . Avec la « Dernière date de vérification de conformité de politique » pour les applications de Veracode, cette intégration récupère uniquement les données des applications qui ont été analysées après la « delta_start_time » de cette intégration. |
| Veracode Intégration des catégories | Cette intégration est désactivée par défaut. Récupère les données de catégories améliorées à partir de Veracode. |
| Veracode Intégration CWE |
Cette intégration est activée par défaut. Récupère les données CWE (Common Weakness Enumeration) spécifiques pour obtenir des informations sur les menaces et formuler des Veracode recommandations de rattrapage. Ces données sont renseignées et mises à jour dans les enregistrements d’entrée de vulnérabilité de l’application. Cette intégration CWE fonctionne indépendamment de la tâche planifiée pour l’intégration CWE Comprehensive 2000 que vous activez pour l’application Réponse aux vulnérabilités . Vos données ne sont pas dupliquées si vous avez activé l’intégration Veracode CWE et l’intégration CWE Comprehensive 2000. |
| Veracode Intégration DevOps | Cette intégration est désactivée par défaut. L’intégration est visible dans la liste Intégrations de vulnérabilité d’application dans Réponse aux vulnérabilités des applications. Si vous disposez d’une licence DevOps Change Velocity, cette fonctionnalité est structurée de sorte que les utilisateurs DevOps n’ont pas besoin d’une licence SecOps pour afficher les détails du résumé des analyses de vulnérabilité tierces. Il n’y a aucun impact ni changement sur Réponse aux vulnérabilités des applications. |
Pour les états d’exécution de l’intégration, reportez-vous à la section Afficher l’état de l’exécution de l’importation de l’intégration de vulnérabilité de l’application Veracode.
Pour afficher les données dans les vulnérabilités tierces, reportez-vous à la section Afficher les bibliothèques de vulnérabilité.