Notes de version d’Application Vulnerability Response

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 8 minutes de lecture

    • L’application ServiceNow® Réponse aux vulnérabilités des applications réunit la sécurité et l’informatique pour vous permettre de corriger vos vulnérabilités les plus critiques plus rapidement et plus efficacement. Réponse aux vulnérabilités des applications a été amélioré et mis à jour dans la version Zurich .

    Points forts d’Application Vulnerability Response pour la version Zurich

    • Surveillez vos demandes et résultats de test de pénétration, ainsi que la progression globale de votre équipe dans l’espace de travail Test de pénétration.
    • Réévaluez le score de risque, les affectations, la date cible de rattrapage, les exceptions et la tâche de rattrapage pour un ensemble spécifique d’éléments vulnérables d’applications dans l’espace de travail du gestionnaire de vulnérabilités.
    • Intégrez avec des analyseurs tiers pris en charge pour importer des données de vulnérabilité.
    • Comparez les données liées à la vulnérabilité des applications et déterminez si des vulnérabilités d’application sont détectées dans une application.
    • Classer par ordre de priorité, corriger et gérer les éléments vulnérables de l’application (AVIT). Chaque vulnérabilité d’application représente une entrée de vulnérabilité dans le Common Weakness Enumeration (CWE) ou dans des bibliothèques tierces.
    • Avec le rôle sn_vul.app_sec_manager, créez manuellement des tâches de rattrapage d’applications dans l’espace de travail Responsable des vulnérabilités.
    • Avec le rôle sn_vul.app_sec_manager, créez manuellement des tâches de rattrapage d’applications dans l’espace de travail Responsable des vulnérabilités.

    Consultez Application Vulnerability Response pour plus d'informations.

    Important :
    Réponse aux vulnérabilités des applications est disponible dans le ServiceNow Store. Pour en savoir plus, reportez-vous à la section « Informations sur l’activation » de ces notes de version.

    Informations importantes pour la mise à niveau Réponse aux vulnérabilités des applications vers Zurich

    Nouveautés de la version Zurich

    Améliorations apportées à Application Vulnerability Response
    Le workflow Annuler l’affectation est pris en charge pour les éléments vulnérables de l’application (AVIT) et les tâches de rattrapage (AVUL).
    • Rationalisez les affectations de vulnérabilité d’application avec l’action d’interface utilisateur Annuler l’affectation à partir du menu Actions supplémentaires sur un AVIT.
    • Réaffecter les AVIT mal affectés, clarifier la propriété pour la réévaluation et maintenir des enregistrements de triage précis dans les vues de l’espace de travail.
    • Vous avez la possibilité d’envoyer des demandes de désaffectation pour approbation avant d’effacer les champs Affecté à et Groupe d’affectation des enregistrements.
    Chargement de document SBOM via l’action GitHub
    Chargez des documents de nomenclature logicielle (SBOM) valides sur la plateforme ServiceNow à l’aide de GitHub Action.
    Créer manuellement des tâches de rattrapage d’applications dans l’espace de travail du gestionnaire de vulnérabilités
    Avec le rôle sn_vul.app_sec_manager, vous pouvez créer manuellement des tâches de rattrapage d’applications en sélectionnant certains ou tous les enregistrements dans les listes des éléments vulnérables d’applications dans le Espace de travail du gestionnaire de vulnérabilités. Ces enregistrements sont regroupés en une ou plusieurs tâches de rattrapage en fonction des critères de regroupement sélectionnés lors de la création des tâches de rattrapage d’application.
    Créer manuellement des tâches de rattrapage d’applications dans l’espace de travail de remédiation informatique
    Le rôle sn_vul.app_security_champion vous permet de créer manuellement des tâches de rattrapage d’applications en sélectionnant les enregistrements souhaités dans les listes des éléments vulnérables de l’application Espace de travail de remédiation IT du . Ces enregistrements sont regroupés en une ou plusieurs tâches de rattrapage en fonction des critères de regroupement sélectionnés lors de la création des tâches de rattrapage d’application.
    Ingestion manuelle des vulnérabilités pour l’intégration de vulnérabilité de l’application
    Importez les AVIT à partir de sources externes via un modèle standardisé (par exemple, CSV, Excel) et gérez le cycle de vie des conclusions du test de pénétration. Vous pouvez désormais ingérer des données de vulnérabilité, y compris des détails tels que l’application affectée, la description de la vulnérabilité, la gravité, les recommandations de correction, ainsi que d’autres détails nécessaires. Cette amélioration vous permet de simplifier le processus de consolidation des données de vulnérabilité provenant de diverses sources dans un espace de travail centralisé de test de pénétration.
    Espace de travail Test de pénétration

    Surveillez vos demandes et vos conclusions de test de pénétration, ainsi que la progression globale de votre équipe dans l’espace de travail du test de pénétration. Priorisez les tests qui requièrent votre attention, suivez les résultats et affichez les affectations avec les visualisations de données suivantes sur le tableau de bord :

    • Éléments importants.
    • Demandes de test de pénétration critiques et par état.
    • Conclusions rapportées.
    • Progression globale du rattrapage en fonction de l’affectation.
    Améliorations apportées aux demandes d’évaluation de test de pénétration
    Outre Pénétration complète, Ciblé et Nouveau test, les types d’évaluation suivants sont inclus pour les formulaires de demandes d’évaluation de test de pénétration dans l’espace de travail du test de pénétration :
    • Version d’urgence : prend en charge les versions d’urgence requises pour les mises à jour logicielles rapides afin de résoudre des problèmes critiques tels que les vulnérabilités de sécurité.
    • Programme Bug Bounty - Récompense les pirates éthiques pour trouver et signaler des vulnérabilités de sécurité.
    • Approbations de mise en production : assurez-vous que toutes les vérifications nécessaires sont effectuées avant de déployer un nouveau logiciel.
    • Examens ponctuels - Évaluez des projets spécifiques en dehors des cycles de développement et de publication réguliers pour évaluer les performances et mettre en œuvre des améliorations.
    • Intérêt de la direction - Rapport sur l’engagement et le soutien de la haute direction pour les projets critiques au sein de l’organisation.

    Les améliorations apportées aux champs Approbation de mise en production et Notes de version vous aident à garantir la qualité et la sécurité de vos résultats de test d’intrusion.

    Les états suivants ont été ajoutés au champ Approbation de mise en production :
    • Non applicable (par défaut).
    • Approuvé.
    • Refusé.

    Vous pouvez ajouter des détails pour justifier vos approbations de mise en production dans le champ Notes de version.

    Associer les CWE pour la création manuelle d’AVIT à partir des demandes d’évaluation de test de pénétration
    Dans l’onglet Conclusions du test de pénétration des demandes d’évaluation de test de pénétration, vous pouvez associer les énumérations de faiblesses courantes (CWE) ou les vulnérabilités et expositions courantes (CVE) dans le champ Vulnérabilité des AVIT créés manuellement.
    Créer des demandes de changement dans Réponse aux vulnérabilités des applications
    Les utilisateurs disposant des rôles sn_vul.app_sec_manager et sn_vul.app_sec_champion, ainsi que les utilisateurs disposant du rôle sn_vul.app_developer disposant du rôle ITIL peuvent créer des demandes de changement à partir des tâches de rattrapage dans l’application Réponse aux vulnérabilités des applications . Créez des demandes de changement pour accélérer votre enquête sur les vulnérabilités d’applications (AVIT) qui nécessitent une intervention manuelle.
    • Créez des demandes de changement avec des informations préremplies pour les applications numérisées qui sont classifiées comme éléments de configuration (CI).
    • Le workflow de demande de changement dans Réponse aux vulnérabilités des applications est similaire à celui pris en charge dans Réponse aux vulnérabilités. Pour plus d’informations sur le workflow de Réponse aux vulnérabilités demande de changement, reportez-vous à la section Change management for Vulnerability Response.
    Remarque :
    Les demandes de changement ne sont prises en charge Réponse aux vulnérabilités des applications que si l’application détectée est associée à un élément de configuration (CI). Vous devez définir Product Model sur False dans la propriété système Use Product Model [sn_vul.use_product_model] pour associer une application détectée à un CI.
    Améliorations apportées à la Nomenclature logicielle Espace de travail
    • Vous pouvez supprimer plusieurs enregistrements d’entité BOM et leurs composants connexes en les modifiant en bloc à partir de l’espace Nomenclature logicielle SBOM de travail SBOM.
    • Tous les éléments vulnérables de l’application (AVIT) associés à des entités BOM supprimées passent automatiquement à l’état Fermé.
    Afficher les détails du score de risque d’un élément vulnérable dans la section Notes de travail
    À partir de la version 25.0.3 de Réponse aux vulnérabilités des applications, la propriété sn_sec_cmn.risk_score_changes_add_worknotes système est inactive par défaut. Si vous l’activez, vous pouvez alors seulement voir tous les changements liés au score de risque d’un élément vulnérable d’application dans la section Notes de travail. En outre, les notes de travail ne sont mises à jour qu’en cas de changement du score de risque.

    Changements d’interface utilisateur

    Thème corail
    Corail est désormais le thème par défaut pour les nouvelles expériences portail, Web et mobiles avec Next Experience ou Interface utilisateur principale activées. Ce thème offre un nouveau look et une nouvelle sensation, avec des illustrations neutres pour améliorer votre expérience utilisateur. Une option de thème foncé est disponible pour les expériences Web et mobiles.

    Changements apportés à cette version

    Configurer le nombre maximal de lignes dans les listes connexes
    Pour améliorer la lisibilité et les performances, vous pouvez maintenant limiter le nombre de lignes affichées dans les listes connexes sur les formulaires en définissant la propriété sn_vul_cmn.related_list.set_max_rowsystème .
    Amélioration de la gestion des états pour les tâches de rattrapage et les éléments vulnérables
    La logique de gestion des états pour la réduction de l’état des tâches de rattrapage (RT) aux résultats et le déploiement de l’état des résultats aux RT a été affinée dans tous les modules. Les mises à jour améliorent la précision en gérant les états d’éléments mixtes (une combinaison de différé et de fermé), en prenant en charge la fermeture des tâches dans des sous-états tels que En cours de révision et en rouvrant les tâches en fonction du champ Affecté à. La mise à jour améliore également la gestion des transitions d’état de faux positifs basées sur les résultats du scanner comme source de vérité. Ces améliorations réduisent les efforts manuels, clarifient la propriété des tâches et rationalisent les workflows de rattrapage.

    Informations sur l'activation

    Installez Réponse aux vulnérabilités des intégrations tierces en les demandant auprès du ServiceNow Store. Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.