Configurez la GitHub Application Intégrations de vulnérabilités.
Avant d’exécuter l’intégration sur votre instance, les étapes d’installation et de configuration doivent être terminées pour que le produit GitHub s’intègre correctement à Réponse aux vulnérabilités des applications. Cette application est disponible sous forme d’abonnement distinct.
Avant de commencer
- Groupe d’utilisateurs du gestionnaire de sécurité des applications
- sn_vul.app_sec_manager requis pour la configuration OAuth
Procédure
- Accédez à la Tous > Intégration de vulnérabilité de GitHub > Configuration.
-
Choisissez Authentification de base ou OAuth comme type d’authentification.
- L’authentification de base nécessite un serveur MID pour les instances sur site. Générez le jeton d’API requis pour l’authentification de base à partir de votre GitHub compte.
- OAuth nécessite la configuration de l’application, des informations d’identification et de la connexion OAuth décrites à la section Création d’informations d’identification OAuth 2.0 pour GitHub les applications : JWT pour la GitHub Application Intégrations de vulnérabilités.
-
Renseignez les champs en fonction du type que vous choisissez.
Authentification de base
Tableau 1. Champ Description URL D'API L’URL d’API appropriée GitHub pour l’entreprise ou sur site. L’URL par défaut est https://api.github.com. L’URL de votre GitHub point de terminaison est On-premise. Jeton d'API Jeton que vous avez généré à partir de votre GitHub console. Type d'API Sélectionner un élément : - Organisation
- Choisissez cette option si vous souhaitez importer des données pour une organisation spécifique par nom. L’environnement GitHub prend en charge plusieurs organisations. Chaque organisation peut prendre en charge plusieurs référentiels. Si vous saisissez une organisation, seules les données de cette organisation sont importées.
- Entreprise
- L’environnement Enterprise prend en charge plusieurs organisations. Choisissez cette option si vous souhaitez importer des données de vulnérabilité de toutes les organisations de votre environnement d’entreprise (cloud).
Nom de l'organisation Nom de votre GitHub référentiel. Seules les données de l’organisation que vous saisissez sont importées. Serveur MID Pour les instances sur site pour l’authentification de base, un Serveur MID est requis. Sélectionnez des options pour gérer la gestion des exceptions et les faux positifs. Sélectionnez des options pour gérer la gestion des exceptions et des faux positifs pour les éléments vulnérables d’applications (AVI) avec ServiceNow des workflows automatiquement lors de l’importation.
- Gérer les exceptions dans ServiceNow
- Laissez cette option activée si vous souhaitez trier les AVI importés marqués pour l’état Différé .
Les AVI avec des états Source qui sont normalement mappés à un état Différé dans votre instance sont plutôt mappés à Ouvert.
Vous demandez une exception à partir de l’enregistrement AVI.
- Gérer les faux positifs dans ServiceNow
- Laissez cette option activée si vous souhaitez trier les AVI importés dont l’état Source est marqué comme Faux positif ou Faux positif potentiel.
Les AVI avec ces états sources qui sont normalement mappés à un état Fermé dans votre instance sont mappés à Ouvert.
Vous demandez un faux positif à partir de l’enregistrement AVI.
- Désactivez l’une des cases à cocher ou les deux si vous souhaitez conserver les états Source importés de votre scanner.
- Si elle est désactivée, les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVI.
Instance d'intégration Instance dans laquelle vous importez des données. OAuth
Tableau 2. Champ Description URL D'API L’URL d’API appropriée GitHub pour l’entreprise ou sur site. L’URL par défaut est https://api.github.com. L’URL de votre GitHub point de terminaison est On-premise. Connexion La connexion que vous avez créée décrite dans .Création d’informations d’identification OAuth 2.0 pour GitHub les applications : JWT pour la GitHub Application Intégrations de vulnérabilités Type d'API Sélectionner un élément : - Organisation
- Choisissez cette option si vous souhaitez importer des données pour une organisation spécifique par nom. L’environnement GitHub prend en charge plusieurs organisations. Chaque organisation peut prendre en charge plusieurs référentiels. Si vous saisissez une organisation, seules les données de cette organisation sont importées.
- Entreprise
- L’environnement Enterprise prend en charge plusieurs organisations. Choisissez cette option si vous souhaitez importer des données de vulnérabilité de toutes les organisations de votre environnement d’entreprise (cloud).Remarque :
GitHub Les applications ne prennent pas en charge les API au niveau de l’entreprise.
Nom de l'organisation Nom de l’organisation de vos GitHub référentiels. Seules les données provenant des référentiels de l’organisation que vous saisissez sont importées. Sélectionnez des options pour gérer la gestion des exceptions et les faux positifs. Sélectionnez des options pour gérer la gestion des exceptions et des faux positifs pour les éléments vulnérables d’applications (AVI) avec ServiceNow des workflows automatiquement lors de l’importation.
- Gérer les exceptions dans ServiceNow
- Laissez cette option activée si vous souhaitez trier les AVI importés marqués pour l’état Différé .
Les AVI avec des états Source qui sont normalement mappés à un état Différé dans votre instance sont plutôt mappés à Ouvert.
Vous demandez une exception à partir de l’enregistrement AVI.
- Gérer les faux positifs dans ServiceNow
- Laissez cette option activée si vous souhaitez trier les AVI importés dont l’état Source est marqué comme Faux positif ou Faux positif potentiel.
Les AVI avec ces états sources qui sont normalement mappés à un état Fermé dans votre instance sont mappés à Ouvert.
Vous demandez un faux positif à partir de l’enregistrement AVI.
- Désactivez l’une des cases à cocher ou les deux si vous souhaitez conserver les états Source importés de votre scanner.
- Si elle est désactivée, les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVI.
- Sélectionnez Enregistrer et tester les informations d’identification.
-
Exécutez l’intégration des référentiels GitHub avant d’exécuter les autres intégrations.
Les autres GitHub intégrations dépendent des données d’application actuelles importées à partir de l’intégration des référentiels. Les données de l’intégration des référentiels sont stockées dans la table Applications détectées [sn_vul_app_release]. Consultez Afficher le statut d’exécution de l’importation et les données du GitHub Application Intégrations de vulnérabilités référentiel importé pour plus d'informations.