Configurez la Veracode Vulnerability Integration.

Rversion finale: Zurich

Mis à jour 31 juil. 2025

5 minutes de lecture

Avant d’exécuter l’intégration sur votre instance, les étapes d’installation et de configuration doivent être terminées afin que le produit s’intègre Veracode correctement à Réponse aux vulnérabilités des applications. Cette application est disponible sous forme d’abonnement distinct.

Avant de commencer

Effectuez la liste de vérification de configuration suivante avant l’installation. Ces tâches d’installation sont nécessaires pour une installation et une configuration fluides.

Remarque :

Ce processus s’applique uniquement aux applications qui sont téléchargées vers les instances de production. Si vous téléchargez des applications vers des instances de non-production ou de développement, il n’est pas nécessaire d’obtenir des autorisations. Passez à .Activer une ServiceNow Store application


Tâches de configuration	Description
Vérifiez que l’application Réponse aux vulnérabilités est installée et activée.	Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés. Si l’application n’est pas installée et activée, Installer Réponse aux vulnérabilités reportez-vous à la section .
Vérifiez que l’intégration à Veracode l’application Réponse aux vulnérabilités est installée et activée.	Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés. Si l’application n’est pas installée et activée, Installer l’intégration ServiceNow de Vulnerability Response avec Veracode reportez-vous à la section .
Vérifiez que vous disposez des rôles requis ServiceNow pour votre instance.	Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus : S’il n’est pas déjà affecté, l’administrateur système [admin] installe l’application et affecte les utilisateurs au groupe d’utilisateurs Gestionnaire de sécurité des applications. Le gestionnaire App-Sec supervise la configuration et vérifie les résultats attendus.
Pour l’intégration de vulnérabilité Veracode de l’application, préparez votre ID API et votre clé API .	Contact Veracode pour obtenirl’ID API et la clé API. Consultez Préparation pour le Veracode Vulnerability Integration. À partir de la version 4.0, si vous utilisez le Veracode Vulnerability Integration, les tests d’évaluation de pénétration dans le Veracode Vulnerability Integration sont des conclusions manuelles de Veracode. Ces résultats ne sont pas liés à des demandes d’évaluation de test de pénétration que vous configurez dans Réponse aux vulnérabilités des applications. Pour plus d’informations sur les demandes de test de pénétration dans , reportez-vous à Réponse aux vulnérabilités des applications la section Configurer les tests de pénétration.

Rôle requis : groupe d’utilisateurs Gestionnaire de sécurité des applications

Procédure

Accédez à la Tous > Intégration de vulnérabilité Veracode > Configuration.
Renseignez les champs ID API et Clé API .

Choisissez vos résultats de test.

Option	Description
Version 4.0 :	Sélectionnez les types de données DAST ou SAST à inclure dans l’importation. Remarque : Vous pouvez choisir l’un ou l’autre, ou les deux, mais vous devez en sélectionner au moins un. Sélectionnez SCA pour importer les vulnérabilités de l’analyse de la composition logicielle (SCA). Sélectionnez Inclure manuel pour importer les résultats des tests de pénétration manuels à partir de Veracode. Des AVIT sont créés pour ces résultats.
Version 3.0	Sélectionnez les types de données DAST ou SAST à inclure dans l’importation. Remarque : Vous pouvez choisir l’un ou l’autre, ou les deux, mais vous devez en sélectionner au moins un.
Version 1.0 :	Les résultats des tests dynamiques de sécurité des applications sont sélectionnés par défaut.

Ajoutez le niveau Veracode de gravité pour filtrer vos données importées.
Cette valeur est importée de Veracode. Vous pouvez ajouter plusieurs valeurs au champ. Si elle est renseignée, l’importation rassemble uniquement les données qui correspondent aux niveaux de gravité que vous avez ajoutés.

Enregistrez et validez vos choix.

Option	Description
Version 3.0 :	Cliquez sur Enregistrer et tester les informations d’identification. Remarque : La configuration est terminée avec succès à moins qu’un message d’erreur ne s’affiche. Si un message d’erreur s’affiche pendant la configuration, saisissez à nouveau vos données.
Version 1.0 :	Cliquez sur Enregistrer. Vérifiez la réussite de la configuration en cliquant sur Tester les informations d’identification. Remarque : La configuration est terminée avec succès à moins qu’un message d’erreur ne s’affiche. Si un message d’erreur s’affiche pendant la configuration, saisissez à nouveau vos données.

Option

Description

Version 3.0 :

Cliquez sur Enregistrer et tester les informations d’identification.

Remarque :

La configuration est terminée avec succès à moins qu’un message d’erreur ne s’affiche. Si un message d’erreur s’affiche pendant la configuration, saisissez à nouveau vos données.

Version 1.0 :

Cliquez sur Enregistrer.

Vérifiez la réussite de la configuration en cliquant sur Tester les informations d’identification.

Remarque :

La configuration est terminée avec succès à moins qu’un message d’erreur ne s’affiche. Si un message d’erreur s’affiche pendant la configuration, saisissez à nouveau vos données.

Sélectionnez la façon dont vous souhaitez gérer les exceptions et les faux positifs pour les AVIT lors de l’importation.

Les options permettant de gérer les AVIT lors de l’importation avec les ServiceNow workflows Gestion des exceptions et Faux positifs sont activées par défaut. Les workflows sont déclenchés en fonction de la façon dont les états sources sur les AVIT sont mappés dans votre instance. Pour un exemple de cas d’utilisation, reportez-vous à la section Gestion du mappage d’état pour les reports et les faux positifs dans Réponse aux vulnérabilités des applications.


Activé	Gérer les exceptions dans ServiceNow Laissez cette option activée si vous souhaitez trier les AVIT importés marqués pour l’état Différé . Les AVIT avec des états Source qui sont normalement mappés à un état Différé dans votre instance sont plutôt mappés à Ouvert. Vous demandez une exception à partir de l’enregistrement AVI. Gérer les faux positifs dans ServiceNow Laissez cette option activée si vous souhaitez trier les AVIT importés dont l’état Source est marqué comme Faux positif ou Faux positif potentiel. Les AVIT avec ces états sources qui sont normalement mappés à un état Fermé dans votre instance sont mappés à Ouvert. Vous demandez un faux positif à partir de l’enregistrement AVIT.
Désactivé	Désactivez l’une des cases à cocher ou les deux si vous souhaitez conserver les états Source importés de votre scanner. Ces AVIT sont mappés aux états Cible et Motif cible au fur et à mesure de leur importation, mais ne sont pas triés par les workflows d’exception et de faux positif. Les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVIT.

Activé

Gérer les exceptions dans ServiceNow

Laissez cette option activée si vous souhaitez trier les AVIT importés marqués pour l’état Différé .

Les AVIT avec des états Source qui sont normalement mappés à un état Différé dans votre instance sont plutôt mappés à Ouvert.

Vous demandez une exception à partir de l’enregistrement AVI.

Gérer les faux positifs dans ServiceNow

Laissez cette option activée si vous souhaitez trier les AVIT importés dont l’état Source est marqué comme Faux positif ou Faux positif potentiel.

Les AVIT avec ces états sources qui sont normalement mappés à un état Fermé dans votre instance sont mappés à Ouvert.

Vous demandez un faux positif à partir de l’enregistrement AVIT.

Désactivé

Désactivez l’une des cases à cocher ou les deux si vous souhaitez conserver les états Source importés de votre scanner.

Ces AVIT sont mappés aux états Cible et Motif cible au fur et à mesure de leur importation, mais ne sont pas triés par les workflows d’exception et de faux positif. Les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVIT.

À partir de la version 4.3, choisissez ou vérifiez les paramètres des paramètres suivants.

Paramètre	Description
Région de l'API	Sélectionnez une région dans la liste.
Délai d'attente de l'API	La valeur par défaut est 30 000. Vous préférez peut-être laisser ce champ dans son paramètre par défaut.
Inclure les vulnérabilités SBOM	Sélectionnez cette option pour inclure toute vulnérabilité ingérée par les Veracode intégrations dans les Veracode SBOM fichiers que vous chargez. Laissez le champ vide afin que Veracode les vulnérabilités ne soient pas analysées sur Veracode SBOM les fichiers.

Paramètre

Description

Région de l'API

Sélectionnez une région dans la liste.

Délai d'attente de l'API

La valeur par défaut est 30 000. Vous préférez peut-être laisser ce champ dans son paramètre par défaut.

Inclure les vulnérabilités SBOM

Sélectionnez cette option pour inclure toute vulnérabilité ingérée par les Veracode intégrations dans les Veracode SBOM fichiers que vous chargez.

Laissez le champ vide afin que Veracode les vulnérabilités ne soient pas analysées sur Veracode SBOM les fichiers.

Sélectionnez Enregistrer et tester les informations d’identification.

Que faire ensuite

Si votre environnement nécessite des importations séparées par domaine, reportez-vous à la section Créer des importations séparées par domaine pour une intégration.

Lors de l’installation initiale, reportez-vous à pour plus d’instructions Configurer Réponse aux vulnérabilités des applications .

Après l’installation initiale, pour les modifications, reportez-vous à Veracode Vulnerability Integration Modifications et activités.