Konfigurieren Sie GitHub-Anwendungsschwachstellen-Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Bevor Sie die Integration auf Ihrer Instanz ausführen, müssen die Installations- und Konfigurationsschritte abgeschlossen werden, damit das GitHub-Produkt ordnungsgemäß in integriert wird Application Vulnerability Response. Diese Anwendung ist als separates Abonnement verfügbar.

    Vorbereitungen

    Erforderliche Rollen:
    • Anwendergruppe des App-SEC-Managers
    • sn_vul.app_sec_manager für OAuth-Einrichtung erforderlich

    Prozedur

    1. Navigieren zu Alle > GitHub-Schwachstellenintegration > Konfigurationan.
    2. Wählen Sie Aus Standardauthentifizierung Oder OAuth Für Authentifizierungstyp.
    3. Füllen Sie die Felder basierend auf dem von Ihnen ausgewählten Typ aus.
      Standardauthentifizierung
      Tabelle : 1.
      Feld Beschreibung
      API-URL Das entsprechende GitHubAPI-URL für Enterprise oder lokal. Die Standard-URL ist https://api.github.com. Lokal ist Ihr GitHubEndpunkt-URL.
      API-Token Token, das Sie aus generiert haben GitHubKonsole.
      API-Typ Wählen Sie eines aus:
      Organisation
      Wählen Sie diese Option aus, wenn Sie Daten für eine bestimmte Organisation nach Namen importieren möchten. Die GitHubDie Umgebung unterstützt mehrere Organisationen. Jede Organisation kann mehrere Repositorys unterstützen. Wenn Sie eine Organisation eingeben, werden nur Daten aus dieser Organisation importiert.
      Enterprise
      Die Unternehmensumgebung unterstützt mehrere Organisationen. Wählen Sie diese Option aus, wenn Sie Schwachstellendaten aus allen Organisationen in Ihrer Enterprise-Umgebung (Cloud) importieren möchten.
      Organisationsname Name von GitHubRepository. Nur Daten aus der von Ihnen eingegebenen Organisation werden importiert.
      MID-Server Für lokale Instanzen für die Standardauthentifizierung ist ein MID-Server erforderlich.
      Wählen Sie Optionen aus, um das Ausnahmemanagement und falsch positive Ergebnisse zu verwalten.

      Wählen Sie Optionen aus, um die Ausnahmemanagement- und falsch positiv-Werte für angreifbare Anwendungselemente (Avis) mit zu verwalten ServiceNowWorkflows automatisch beim Import.

      Verwalten Sie Ausnahmen in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte Avis selektieren möchten, die für markiert sind Zurückgestellt status.

      Avis mit Quelle status, die normalerweise einem zugeordnet sind Zurückgestellt status in Ihrer Instanz werden stattdessen zugeordnet Offen .

      Sie Fordern Sie eine Ausnahme an Aus dem AVI-Datensatz.

      Verwalten Sie falsch positive Ergebnisse in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte Avis mit selektieren möchten Quelle status markiert als Falsch Positiv Oder Potenziell Falsch Positiv .

      Avis mit diesen Quelle status, die normalerweise einem zugeordnet sind Geschlossen status in Ihrer Instanz sind zugeordnet Offen .

      Sie fordern an Falsch positiv Aus dem AVI-Datensatz.
      • Deaktivieren Sie eines oder beide Kontrollkästchen, wenn Sie beibehalten möchten Quelle status, die von Ihrem Scanner importiert wurden.
      • Wenn deaktiviert, wird Ausnahme anfordern Und Falsch Positiv Aktionen sind in Avis nicht sichtbar.
      Integrationsinstanz Instanz, in die Sie Daten importieren.

      OAuth

      Tabelle : 2.
      Feld Beschreibung
      API-URL Das entsprechende GitHubAPI-URL für Enterprise oder lokal. Die Standard-URL ist https://api.github.com. Lokal ist Ihr GitHubEndpunkt-URL.
      Verbindung Die von Ihnen erstellte Verbindung wurde in beschrieben OAuth 2,0-Anmeldeinformationen für werden erstellt GitHubApps: JWT für GitHub-Anwendungsschwachstellen-Integration.
      API-Typ Wählen Sie eines aus:
      Organisation
      Wählen Sie diese Option aus, wenn Sie Daten für eine bestimmte Organisation nach Namen importieren möchten. Die GitHubDie Umgebung unterstützt mehrere Organisationen. Jede Organisation kann mehrere Repositorys unterstützen. Wenn Sie eine Organisation eingeben, werden nur Daten aus dieser Organisation importiert.
      Enterprise
      Die Unternehmensumgebung unterstützt mehrere Organisationen. Wählen Sie diese Option aus, wenn Sie Schwachstellendaten aus allen Organisationen in Ihrer Enterprise-Umgebung (Cloud) importieren möchten.
      Hinweis:

      GitHub Apps unterstützen keine APIs auf Unternehmensebene.
      Organisationsname Organisationsname für GitHubRepositorys. Nur Daten aus den Repositorys in der von Ihnen eingegebenen Organisation werden importiert.
      Wählen Sie Optionen aus, um das Ausnahmemanagement und falsch positive Ergebnisse zu verwalten.

      Wählen Sie Optionen aus, um die Ausnahmemanagement- und falsch positiv-Werte für angreifbare Anwendungselemente (Avis) mit zu verwalten ServiceNowWorkflows automatisch beim Import.

      Verwalten Sie Ausnahmen in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte Avis selektieren möchten, die für markiert sind Zurückgestellt status.

      Avis mit Quelle status, die normalerweise einem zugeordnet sind Zurückgestellt status in Ihrer Instanz werden stattdessen zugeordnet Offen .

      Sie Fordern Sie eine Ausnahme an Aus dem AVI-Datensatz.

      Verwalten Sie falsch positive Ergebnisse in ServiceNow
      Lassen Sie diese Option aktiviert, wenn Sie importierte Avis mit selektieren möchten Quelle status markiert als Falsch Positiv Oder Potenziell Falsch Positiv .

      Avis mit diesen Quelle status, die normalerweise einem zugeordnet sind Geschlossen status in Ihrer Instanz sind zugeordnet Offen .

      Sie fordern an Falsch positiv Aus dem AVI-Datensatz.
      • Deaktivieren Sie eines oder beide Kontrollkästchen, wenn Sie beibehalten möchten Quelle status, die von Ihrem Scanner importiert wurden.
      • Wenn deaktiviert, wird Ausnahme anfordern Und Falsch Positiv Aktionen sind in Avis nicht sichtbar.
    4. Wählen Sie Aus Anmeldeinformationen speichern und testen .
    5. Führen Sie aus GitHubRepository-Integration, bevor die anderen Integrationen ausgeführt werden.
      Die andere GitHubIntegrationen hängen von aktuellen Anwendungsdaten ab, die aus der Repository-Integration importiert wurden. Daten aus der Repository-Integration werden in der Tabelle „erkannte Anwendungen“ [sn_vul_app_release] gespeichert. Weitere Informationen finden Sie unter Zeigen Sie an GitHub-Anwendungsschwachstellen-IntegrationImportausführungsstatus und importierte Repository-Daten.