Configurez la Fortify Vulnerability Integration.

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • Avant d’exécuter l’intégration sur votre instance, les étapes d’installation et de configuration doivent être terminées pour que le produit s’intègre Fortify correctement à la Réponse aux vulnérabilités des applications fonctionnalité de Réponse aux vulnérabilités. Cette application est disponible sous forme d’abonnement distinct.

    Avant de commencer

    Rôles requis : Gestionnaire App-Sec

    Effectuez la liste de vérification de configuration suivante avant l’installation. Ces tâches d’installation sont nécessaires pour une installation et une configuration fluides.

    Remarque :
    Ce processus s’applique uniquement aux applications qui sont téléchargées vers les instances de production. Si vous téléchargez des applications vers des instances de non-production ou de développement, il n’est pas nécessaire d’obtenir des autorisations. Passez à .Activer une ServiceNow Store application
    Tâches de configuration Description
    Vérifiez que l’application Réponse aux vulnérabilités est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer Réponse aux vulnérabilités reportez-vous à la section .
    Vérifiez que l’intégration à Fortify l’application Réponse aux vulnérabilités est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer l’intégration ServiceNow de Vulnerability Response avec Fortify reportez-vous à la section .
    Vérifiez que vous disposez des rôles requis ServiceNow pour votre instance. Les rôles suivants sont requis pour l’installation, la configuration et la vérification des résultats attendus :
    • Si ce n’est pas déjà fait, l’administrateur système [admin] installe l’application et affecte les utilisateurs au groupe de gestionnaires App-Sec.
    • Le gestionnaire App-Sec supervise la configuration et vérifie les résultats attendus.

    Pour le Fortify Vulnerability Integration, préparez votre ID API et votre clé API .

    Contact Fortify pour obtenir l’ID API et la clé API.

    Procédure

    1. Connectez-vous à l’instance sur laquelle vous souhaitez installer les intégrations de vulnérabilité de l’application Fortify .
    2. Accédez au ServiceNow Store.
    3. Dans , recherchez l’intégration avec Fortify l’application.ServiceNow StoreRéponse aux vulnérabilités
    4. Cliquez sur la miniature de l'application.
      Vous obtenez des informations détaillées sur l'application que vous allez installer.
      Remarque :
      Envisagez de lire les sections Autres exigences et dépendances , le cas échéant.
    5. Cliquez sur Demander l'application et saisissez vos identifiants de connexion Now Support.
    6. Cliquez sur Télécharger.
    7. Saisissez le Nom de l'instance et le Motif de l'instance, puis cliquez sur Valider l'instance.
    8. Cliquez sur Demander.
      Vous recevrez un e-mail contenant des instructions d'installation détaillées.
    9. Accédez à la Applications système > Applications.
    10. Localisez l'application, sélectionnez-la et cliquez sur Installer.
      Votre application est automatiquement installée sur votre instance.
    11. Une fois l’installation terminée, accédez à Intégration de vulnérabilité Fortify > Configuration de FoD.
    12. Remplissez les champs du formulaire.
      Tableau 1. Formulaire de configuration de Fortify sur demande
      Champ Description
      URL racine de l'API URL d’instance Fortify de l’utilisateur.
      Clé API Identificateur unique envoyé à l’API Fortify .
      Secret API Secret client fourni par Fortify.
      Inclure DAST Option permettant d’inclure les vulnérabilités à partir des analyses DAST. Les analyses DAST identifient les vulnérabilités dans le comportement de votre application globale.
      Inclure SAST Option permettant d’inclure les vulnérabilités à partir des analyses SAST. Les analyses SAST identifient les vulnérabilités dans le code.
      Exceptions de triage et faux positifs dans ServiceNow (à partir de la version 20.0 de Vulnerability Response) Sélectionnez des options pour gérer automatiquement la gestion des exceptions et des faux positifs pour les AVI avec ServiceNow des workflows lors de l’importation. Ces options sont activées par défaut. Pour un exemple de cas d’utilisation, reportez-vous à la section Gestion du mappage d’état pour les reports et les faux positifs dans Réponse aux vulnérabilités des applications.
      Gérer les exceptions dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés marqués pour l’état Différé .

      Les AVI avec des états Source qui sont normalement mappés à un état Différé dans votre instance sont plutôt mappés à Ouvert.

      Vous demandez une exception à partir de l’enregistrement AVI.

      Gérer les faux positifs dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés dont l’état Source est marqué comme Faux positif ou Faux positif potentiel.

      Les AVI avec ces états sources qui sont normalement mappés à un état Fermé dans votre instance sont mappés à Ouvert.

      Vous demandez un faux positif à partir de l’enregistrement AVI.
      • Désactivez l’une des cases à cocher ou les deux si vous souhaitez conserver les états Source importés de votre scanner.
      • Ces AVI sont mappés aux états cibles et aux états des motifs cibles au fur et à mesure de leur importation, mais ne sont pas triés par les workflows d’exception et de faux positifs. Les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVI.
      Triage dans ServiceNow (avant la version 20.0 de Vulnerability Response) Gérez le triage de la vulnérabilité de votre application dans l’instance ServiceNow :
      • Cochez la case pour trier les AVI dans ServiceNow. Si cette option est sélectionnée, les AVI sont importés à l’état Ouvert. Vous pouvez ensuite demander une exception ou marquer l’AVI comme faux positif.
      • Pour conserver l’état source, c’est-à-dire l’état importé à partir du scanner, assurez-vous que la case n’est pas cochée.
      Remarque :
      Les options Marquer comme faux positif et Demander une exception ne sont disponibles que pour les AVI triés dans ServiceNow.
    13. Sélectionnez Enregistrer et tester les informations d’identification.

    Que faire ensuite

    Si votre environnement nécessite des importations séparées par domaine, reportez-vous à la section Créer des importations séparées par domaine pour une intégration.

    Lors de l’installation initiale, voir Configurer Réponse aux vulnérabilités des applications pour plus d’instructions.

    Après l’installation initiale, pour les modifications, reportez-vous à Fortify Vulnerability Integration Modification et activités.