Explorer Réponse aux vulnérabilités des applications

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 9 minutes de lecture

    • Les vulnérabilités d’application sont des vulnérabilités sur vos applications logicielles personnalisées qui sont analysées tout au long du cycle de vie de développement de l’application.

    Vue d’ensemble et Réponse aux vulnérabilités des applications versions disponibles

    Réponse aux vulnérabilités des applications (AVR) est la partie de l’application Réponse aux vulnérabilités qui traite les vulnérabilités d’application.

    Tableau 1. Versions disponibles
    Version de mise en production Notes de publication

    Réponse aux vulnérabilités v23.0

    Réponse aux vulnérabilités v22.0

    Réponse aux vulnérabilités v21.0

    Réponse aux vulnérabilités v20.0

    Réponse aux vulnérabilités v19.0

    Réponse aux vulnérabilités v18.2

    		 Application Vulnerability Response release notes

    Pour plus d’informations sur la compatibilité, consultez KB0856498 Changements de matrice de compatibilité et de schéma de mise en production de Vulnerability Response

    Fonctionnement

    Les données de vulnérabilité sont importées de sources internes et externes, telles que Common Weakness Enumeration (CWE) ou d’intégrations tierces. Une fois les données importées, elles sont comparées aux données de l’application et Base de données de gestion des configurations (CMDB) traitées dans l’application Réponse aux vulnérabilités des applications . Si une correspondance existe entre les données de vulnérabilité de l’application importées et les données de votre CMDB, un élément vulnérable de l’application (AVIT) est créé.

    Le Réponse aux vulnérabilités des applications comprend les fonctionnalités clés suivantes :
    • Intégrez avec des analyseurs tiers pris en charge pour importer des données de vulnérabilité.
    • Comparez les données liées à la vulnérabilité des applications et déterminez si des vulnérabilités d’application sont détectées dans une application.
    • Classer par ordre de priorité, corriger et gérer les éléments vulnérables de l’application (AVIT). Chaque vulnérabilité d’application représente une entrée de vulnérabilité dans la CWE ou des bibliothèques tierces.
    • À partir de la version 18.0 de Réponse aux vulnérabilités, vous pouvez surveiller et corriger les AVIT dans le Espace de travail du gestionnaire de vulnérabilités et Espace de travail de remédiation IT respectivement. Pour plus d'informations, consultez Espace de travail du gestionnaire de vulnérabilités et Espace de travail de remédiation IT.
    • Corrélez Réponse aux vulnérabilités des applications les données à l’aide de calculateurs et de bibliothèques pour vous aider à effectuer les tâches suivantes.
      • Créez automatiquement des éléments vulnérables d’application à l’aide des règles de recherche de CI. Pendant l’importation, des vulnérabilités tierces sont associées à une CWE pour créer un AVIT.
      • Créez des règles d’affectation pour automatiser les affectations d’éléments vulnérables d’applications.
      • Utilisez des groupes de calculateurs pour déterminer l’impact sur l’entreprise, spécifier des conditions variables à l’aide de filtres, appliquer des calculs simples ou utiliser un script.
      • Créez des règles de cibles de rattrapage qui définissent le délai prévu pour le rattrapage des éléments vulnérables d’applications afin de surveiller les activités de rattrapage à venir.
    • Associez une vulnérabilité tierce unique à plusieurs entrées CWE et recherchez la CWE primaire pour une vulnérabilité afin de vous aider à déterminer le risque. Pour plus d’informations sur le CWE principal, reportez-vous à la section Champs de vulnérabilité de l’application.
    • Utilisez les enregistrements CWE qui sont téléchargés à partir de la base de données CWE ou importés à partir d’intégrations tierces pour vous aider à décider si vous devez escalader une vulnérabilité. Chaque enregistrement CWE comprend également un article de la base de connaissances associé qui décrit la faiblesse.

    À utiliser Réponse aux vulnérabilités des applications pour suivre le flux d’informations, de l’intégration à l’enquête, puis à la résolution.

    Flux Application Vulnerability Response

    Types de données de vulnérabilité importées

    Réponse aux vulnérabilités des applications prend en charge les types suivants de données de vulnérabilité des applications importées.
    Remarque :
    Avant la version 19.0, les données SAST, SCA, IAST et de test de pénétration n’étaient pas ingérées et peuvent tenir compte des différences entre ce qui est affiché dans Veracode, Fortify et Invicti et ce qui apparaît dans Réponse aux vulnérabilités des applications.
    Test dynamique de sécurité des applications (DAST)
    Les analyses DAST recherchent les vulnérabilités des applications en envoyant une entrée à vos applications et en surveillant leurs réponses pendant leur exécution. Cette approche pourrait imiter une attaque extérieure. Au cours de l’analyse dynamique, un service en cours d’exécution (URL) est analysé pour rechercher des vulnérabilités. Les résultats de vulnérabilité incluent l’emplacement URL d’une vulnérabilité découverte.
    Test statique de sécurité des applications (SAST)
    Les analyses SAST examinent le code source des applications au repos et vous aident à trouver des vulnérabilités dans la façon dont vous avez écrit votre code. L’analyse SAST a lieu sur du code source non compilé et existe donc indépendamment de tout service d’application. Les résultats renvoyés comprennent l’emplacement d’un fichier et d’un numéro de ligne d’une vulnérabilité découverte.
    Test de sécurité des applications interactives (IAST)
    Les analyses IAST détectent les vulnérabilités logicielles en interagissant avec le programme pendant son exécution. L’observation humaine, les tests automatisés et les capteurs sont utilisés en combinaison pour interagir avec l’application afin de localiser les vulnérabilités.
    Analyse de la composition logicielle (SCA)
    À partir de la version 19.0 de , vous pouvez ingérer des vulnérabilités SCA Réponse aux vulnérabilités(Software Composition Analysis). Les données de vulnérabilité SCA vous aident à identifier les faiblesses des logiciels open source utilisés dans vos applications logicielles.
    Test de pénétration
    Vous configurez les demandes d’évaluation de test de pénétration pour Réponse aux vulnérabilités des applications vous aider à comprendre où se trouvent les faiblesses de votre application et ce que vous pouvez faire pour les corriger.
    Nomenclature logicielle
    Chargez Nomenclature logicielle des données (SBOM) pour identifier les vulnérabilités dans vos composants open source. Consultez Explorer Nomenclature logicielle pour plus d'informations.

    Cas d'utilisation

    Certains des cas d’utilisation DAST suivants sont pris en charge :
    • Reliez chaque vulnérabilité des résultats de l’analyse à une sorte de cmdb_ci (classe enfant).
    • Associez les résultats de l’analyse DAST à une application existante lorsqu’il existe un enregistrement dans l’intégration CMDB De Découverte ou tierce.
    • Associez le résultat de l’analyse DAST à une application numérisée nouvellement insérée lorsqu’une nouvelle application n’a pas encore été identifiée et/ou stockée dans la CMDB.
    • Stocker les résultats de l’analyse DAST pour une CMDB lorsque vous gérez vos applications dans un produit autre que ServiceNow®.
    • Stockez les résultats de l’analyse DAST pour une CMDB si vous l’avez précédemment personnalisé à d’autres fins.
    • Créez manuellement une application pour le référentiel de code source.
    Certains des cas d’utilisation SAST pris en charge sont pris en charge :
    • Reliez chaque vulnérabilité des résultats de l’analyse à une sorte de cmdb_ci (classe enfant).
    • Créez manuellement un CI pour le référentiel de code source.
    • Stocker les résultats de l’analyse SAST qui sont sans service d’application associé.

    Intégrations tierces

    Les intégrations tierces prises en charge par Réponse aux vulnérabilités des applications sont disponibles en tant qu’applications distinctes dans le ServiceNow Store. Consultez Intégrer Réponse aux vulnérabilités des applications avec d'autres applications pour plus d'informations.

    Fonctionnalités principales

    Règles de recherche de CI
    Rechercher automatiquement des correspondances dans les données de l’application Base de données de gestion des configurations (CMDB).
    Règles d'affectation
    Affectez automatiquement les vulnérabilités des applications en fonction des groupes d’utilisateurs, des champs de groupe d’utilisateurs et des scripts.
    Calculateurs de risques
    Classer automatiquement par ordre de priorité et évaluer l’impact des AVIT à l’aide de calculateurs, en fonction de n’importe quel critère, à l’aide de filtres de condition.
    Mappage de sévérité
    Calculez automatiquement les valeurs initiales des champs des éléments vulnérables de l’application. Les entrées de vulnérabilité ont à la fois une gravité source et une gravité normalisée (basée sur le mappage de gravité). La gravité est liée au Common Weakness Enumeration (CWE).
    Règles de cibles de rattrapage
    Définissez le délai prévu pour le rattrapage d’un élément vulnérable de l’application.
    Reporting
    Obtenez rapidement un aperçu de votre posture de sécurité, des tendances en matière de rattrapage et des 10 principales applications ou unités business comportant les AVIT les plus critiques.

    Le point commun des deux types d’analyses est la version de l’application. Une version de l’application, qui définit une chaîne de nom , est le point de connexion permettant de regrouper les résultats de vulnérabilité analysés du côté du scanner. De cette façon, AVR sait à quelle version de l’application appartiennent les résultats lors de l’importation des résultats d’analyse via l’intégration.

    Une table enfant d’élément de configuration [cmdb_ci], Applications analysées [sn_vul_app_scanned_application], a été créée dans l’application et dans le Réponse aux vulnérabilités périmètre. Cette table stocke l’abstraction de la version de l’application et fournit un mappage des services par le biais de ses relations CMDB. Elles peuvent être visualisées à partir du Tous > Réponse aux vulnérabilités de l'application > Administration > Applications module. La vue de liste Applications numérisées contient le département et le groupe de support ajoutés lors de la configuration.

    Éléments vulnérables de l’application (AVIT)

    Pour les vulnérabilités d’application, AVR associe une vulnérabilité à une application pour créer l’enregistrement de l’élément vulnérable de l’application (AVIT). En raison des multiples définitions de ce qui constitue une application dans la CMDB, Réponse aux vulnérabilités des applications limite les applications aux applications analysées. Les applications numérisées sont les applications analysées dans votre environnement, identifiées par AVR comme Nom et ID. Les AVIT sont basés sur le dernier résumé de l’analyse jusqu’à ce qu’il soit confirmé Corrigé par le scanner. Si un AVIT n’est plus trouvé, il reste lié au résumé de l’analyse où il a été vu pour la dernière fois.

    Les éléments vulnérables de l’application peuvent être affichés à partir de Tous > Réponse aux vulnérabilités de l'application > Vulnérabilités > Éléments vulnérables module.

    Si une application est supprimée de la CMDB, tous les AVIT associés sont fermés.

    Pour en savoir plus sur les champs du formulaire AVIT, reportez-vous à la section Champs d’élément vulnérable d’application.

    Groupes d’utilisateurs et rôles dans Réponse aux vulnérabilités des applications

    Souvent, une équipe travaille ensemble pour créer, gérer et superviser la gestion des vulnérabilités des applications. Des rôles stratégiques, ainsi que des rôles opérationnels, sont attribués aux membres de l'équipe. Dans la plupart des organisations, vous pouvez endosser plusieurs rôles et souvent partager des rôles avec d’autres. Réponse aux vulnérabilités des applications utilise trois groupes d’utilisateurs contenant des rôles granulaires : Gestionnaire de sécurité des applications, Champion de la sécurité des applications et Développeur. Consultez la rubrique Réponse aux vulnérabilités des applications Groupes et rôles d’utilisateurs pour en savoir plus sur ces groupes et rôles.

    Réponse aux vulnérabilités des applications États

    Réponse aux vulnérabilités des applications offre un modèle d’état pour l’état de vos éléments vulnérables de l’application (AVIT) et vous aide à déterminer quand et comment corriger vos AVIT.

    Un élément vulnérable de l’application a plusieurs états possibles, consultez la section États des éléments vulnérables de l’application (AVI) pour plus d’informations.

    Réponse aux vulnérabilités applications et CSDM tables

    Réponse aux vulnérabilités des applications Les Réponse aux vulnérabilités intégrations et Nomenclature logicielle applications de vulnérabilité tierces gèrent les tables (y contribuent des données). CSDM Ces applications utilisent également des données provenant de CSDM tables générées par d’autres applications. Plusieurs ServiceNow produits bénéficient donc de ces Opérations de sécurité applications et y ajoutent de la valeur. Consultez Réponse aux vulnérabilités applications et CSDM tables pour plus d'informations.