GitHub Application Intégrations de vulnérabilités
L’importation GitHub Application Intégrations de vulnérabilités de données de test statique de sécurité des applications (SAST) et d’analyse de la composition logicielle (SCA) pour vous aider à afficher les alertes de vulnérabilité dans les référentiels de votre GitHub environnement.
GitHub Application Intégrations de vulnérabilités
Le collecte GitHub Application Intégrations de vulnérabilités les données du scanner et les met à la disposition du ServiceNow AI Platform®. Il s’intègre facilement à la ServiceNow® Réponse aux vulnérabilités des applications fonctionnalité de mappage des Réponse aux vulnérabilités vulnérabilités et GitHub des alertes tierces dans votre instance.
L’environnement GitHub prend en charge plusieurs organisations. Ces organisations, sur site ou en entreprise, peuvent contenir différents départements, tels que l’ingénierie, la qualité, la documentation, etc. Chaque organisation, à son tour, peut prendre en charge plusieurs référentiels. Après avoir importé vos données d’application avec l’intégration de référentiel GitHub , vous pouvez importer des données de vulnérabilité et d’alerte à partir de ces référentiels. Les données importées sont traitées comme une application dans l’application Réponse aux vulnérabilités des applications . Lorsque les scanners détectent des vulnérabilités et génèrent des alertes pour les référentiels, des vulnérabilités sont créées dans Réponse aux vulnérabilités des applications.
Il existe un utilisateur d’exécution en tant que configuré pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. système. Ne modifiez en aucun cas cette valeur.
Versions disponibles
| Version de mise en production | Notes de publication |
|---|---|
| GitHub Application Intégrations de vulnérabilités v1.2, v1.1, 1.0 |
Application Vulnerability Response release notes Pour plus d’informations sur la compatibilité, consultez KB0856498 Changements de matrice de compatibilité et de schéma de mise en production de Vulnerability Response |
Intégrations de GitHub
| Intégration | Description |
|---|---|
| GitHub Intégration du référentiel | À partir de la version 1.1, importez toutes les données d’application pour vos GitHub comptes sur site et dans le cloud (entreprise). L’intégration importe les applications à partir des référentiels que vous avez configurés pour une organisation (sur site) ou à partir de votre environnement d’entreprise (cloud). Exécutez cette intégration avant d’exécuter les autres GitHub intégrations, car elles dépendent des données d’application actuelles importées à partir de l’intégration des référentiels. |
| GitHub Intégration CodeScan | Récupère les alertes de vulnérabilité d’analyse de code des référentiels pour détecter les vulnérabilités de sécurité et les erreurs de GitHub codage. Les données importées sont mappées aux résultats SAST dans votre instance. |
| GitHub Intégration de Dependabot | Récupère les alertes Dependabot pour les dépendances avec des vulnérabilités connues à partir des référentiels. Les données importées sont mappées aux résultats SCA dans votre instance. |
| GitHub Analyse secrète | Récupère les secrets du code de votre organisation ainsi que les résultats des tests de sécurité des applications. Les données sont mappées aux résultats SCA dans votre instance. |
| GitHub Emplacement de l’analyse secrète | Récupère l’emplacement et les numéros de ligne des secrets analysés dans le code de votre organisation pour aider vos développeurs à y remédier. |
Chargement de SBOM fichiers à ServiceNow AI Platform® partir de vos GitHub référentiels
Déterminez si SBOM les fichiers générés dans vos pipelines CI/CD (intégration continue et livraison/déploiement continus) ont été mis en file d’attente avec succès dans votre ServiceNow AI Platform® instance.
- Protégez vos environnements contre les composants potentiellement dangereux pendant les cycles de développement logiciel avec GitHub les actions que vous initiez à partir de votre GitHub environnement.
- Obtenez toutes les actions requises GitHub pour SBOM le chargement dans GitHub Marketplace.
Les SBOM applications sont requises pour charger SBOM des fichiers. Consultez Explorer Nomenclature logicielle pour plus d'informations.
Affichage des données importées
Les données d’application importées à partir de l’intégration des référentiels GitHub sont affichées dans la table Applications détectées [sn_vul_app_release]. Exécutez d’abord cette intégration.
L’intégration des référentiels importe les balises et les rubriques que vous avez configurées pour un référentiel dans votre GitHub compte à partir du menu Paramètres. Toutes les propriétés personnalisées se trouvent dans le menu sous votre référentiel. Les valeurs que vous définissez pour les propriétés sont importées sous forme de paires clé-valeur. Pour en savoir plus sur l’endroit où afficher ces informations dans votre instance, reportez-vous à la section Afficher le statut d’exécution de l’importation et les données du GitHub Application Intégrations de vulnérabilités référentiel importé.
Les données importées (résultats) à partir de l’intégration GitHub Dependabot sont affichées sur les tables suivantes.
- Applications détectées [sn_vul_app_release].
- Synthèses de numérisation de vulnérabilité de l’application [sn_vul_app_vul_scan_summary].
- Éléments vulnérables de l’application [sn_vul_app_vulnerable_item].
- Forfaits [sn_vul_app_package].
Les données importées à partir de GitHub CodeScan Integration sont affichées dans les tables suivantes.
- Applications détectées [sn_vul_app_release].
- Synthèses de numérisation de vulnérabilité de l’application [sn_vul_app_vul_scan_summary].
- Entrées de vulnérabilité de l’application [sn_vul_app_vul_entry].
- Éléments vulnérables de l’application [sn_vul_app_vulnerable_item].