ServiceNow Store - Vulnerability Response リリースノート

  • リリースバージョン: Store
  • 更新日 2025年01月30日
  • 読む8読むのに数分

    • ServiceNow Storeには脆弱性対応製品が含まれています。

    ServiceNow Store Web サイトにアクセスして利用可能なすべてのアプリを表示し、要求をストアに送信する方法について確認してください。

    ServiceNow Storeの最新リリースのハイライト -脆弱性対応

    資産セキュリティポスチャ管理 (5.3.2)
    • 修正済み:
      • 廃止された資産は、主要なインサイトから除外されます。
      • [コネクタ] ページと [ダッシュボード] ページのユースケースのロジック。
      • アプリケーションに含まれるポリシーの条件。
    コンフィグレーションコンプライアンス (15.2.5)
    • 新機能:脆弱性マネージャーワークスペースと IT 修復ワークスペースのリストビューで修復タスク (RT) を手動で作成する機能が導入されました。
    • 修正済み:
      • 「sn_sec_cmn.risk_score_changes_add_worknote」システムプロパティが導入されました。有効にすると、更新されたリスクスコア計算の詳細が作業メモに入力されます。
      • 修復オーナーは、自分にアサインされたテスト結果の作業メモを追加できるようになりました。
      • 状況管理の問題が解決されました:修復タスクフォームの UI アクションと検証が、現在のステータスと一致するようになりました。
      • これで、修復オーナーは、403 エラーなしで IT 修復ワークスペースで脆弱性エントリーレコードを開いて表示できます。
      • [例外の要求] モーダルの日付に関連して送信を妨げていた断続的な問題が修正されました。
      • ステータス変更承認 (例外要求) での却下によって、却下された承認レコードが誤って「不要」とマークされる問題が解決されました。
      • IT 修復ワークスペースのホームページに [影響を受ける CI] ウィジェットが正しく表示されるようになりました。
    サイバーセキュリティエグゼクティブダッシュボード (2.4.1)
    修正済み:このリリースでは、ユーザビリティを向上させ、エクスペリエンスを向上させるためのユーザーエクスペリエンスのマイナーな改善が行われています。
    SBOM のデータモデル (4.0.0)
    一括編集でソフトウェア部品表ワークスペースから BOM エンティティレコードとその関連コンポーネントを削除できるように改善しました。
    GitHub アプリケーション脆弱性統合 (2.0.0)
    • 修正済み:
      • シークレットスキャン統合の GitHub API から 422 エラー応答が発生する問題。
      • GitHub 統合全体で統一されたリポジトリ命名規則。
      • より長い文字列に対応し、切り捨てを防止するための、API 応答ペイロードから GitHub データモデルへの「トピック」属性。
      • 設定ページに「テーブルのクロススコープアクセスポリシーが原因で [operation] が拒否されました ([operation] has been refused due to table's cross-scope access policy)」という誤ったエラーメッセージが表示される。
      • 「前回検出」と「初回検出」の値は、シークレットスキャン統合でこれらの日付を正確に反映します。
    QualysSecurity Operations (12.16.3) の統合
    修正済み:このリリースの軽微な修正。
    SBOM コア (6.0.3)
    • 新規:
      • ソフトウェア部品表ワークスペースの改善により、複数の BOM エンティティレコードとその関連コンポーネントをホーム (ランディング) ページから一括編集で削除できるようになりました。
      • 削除する BOM エンティティに関連付けられているアプリケーション脆弱性一致アイテム (AVIT) は、自動的に「クローズ済み」に移行します。
    SBOM 応答 (6.0.1)
    • 新規:
      • ソフトウェア部品表ワークスペースの改善により、複数の BOM エンティティレコードとその関連コンポーネントをホーム (ランディング) ページから一括編集で削除できるようになりました。
      • 削除する BOM エンティティに関連付けられているアプリケーション脆弱性一致アイテム (AVIT) は、自動的に「クローズ済み」に移行します。
    セキュリティポスチャコントロールコア (6.0.6)
    • 修正済み:
      • Veracode ソフトウェア部品表 (SBOM) 統合は、SBOM ドキュメントをインポートします。
      • タグ値は、Veracode からアプリケーションを解析するときに説明に含まれます。
    脆弱性エクスポージャーアセスメント (5.0.2)
    変更:脆弱性対応 v25.0.4 および脆弱性エクスポージャーアセスメント 5.0.2 以降では、共通脆弱性識別子 (CVE) またはソフトウェアによる評価に加えて、公開者による脆弱性への資産のエクスポージャーを評価できます。
    脆弱性対応 (25.0.4)
    • 新規:
      • 脆弱性マネージャーワークスペースおよび IT 修復ワークスペースのリストビューで修復タスク (RT) を手動で作成します。
      • アプリセキュリティマネージャーまたはセキュリティチャンピオンは、アプリケーション脆弱性対応アプリケーションの修復タスクから変更要求 (CR) を作成できます。
        • 構成アイテム (CI) として分類されるスキャン済みアプリケーションについて、手動での介入が必要なアプリケーション脆弱性一致アイテム (AVIT) の調査を迅速化します。
        • この機能は、検出されたアプリケーションが CI に関連付けられている場合にのみ使用できます。
        • itil ロールが必要です。
      • ペネトレーションテストワークスペースでのペネトレーションテストアセスメント要求の改善:
        • ペネトレーションテストワークスペースで、ペネトレーションテストの要求と検出結果、およびチームの全体的な進捗状況を監視します。
        • ペネトレーションテストワークスペースの [ペネトレーションテストアセスメント要求] フォームに含まれるアセスメントタイプは、緊急リリース、バグ報奨金プログラム、リリース承認、ワンオフレビュー、およびエグゼクティブの関心です。
        • [リリース承認] フィールドと [リリースノート] フィールドは、ペネトレーションテスト結果の品質とセキュリティの向上に役立ちます。
        • [リリース承認] フィールドは、[適用外] (デフォルト)、承認済み、拒否のステータスをサポートしています。
        • [リリースノート] フィールドに詳細を追加して、承認を正当化します。
      • CI 廃止自動クローズルールは、廃止された CI に関連付けられている VIT をクローズします。
    • 変更:
      • [ペネトレーションテストアセスメント要求] の [ペネトレーションテスト結果] タブで、手動で作成された AVIT の [脆弱性] フィールドに共通脆弱性タイプ一覧 (CWE) または共通脆弱性識別子 (CVE) を関連付けることができます。
    • 修正済み:
      • システムプロパティ「sn_sec_cmn.risk_score_changes_add_worknote」を有効にすると、リスクスコアが更新されたときにスコア計算に関する詳細が作業メモに自動的に記録されます。
      • 「os」や「netbios」などの検出されたアイテムのフィールドのスキャナー値は、cmdb_ci値よりも優先されます。
      • 統合実行のパフォーマンスレポートでは、例外ルールメトリクスは、その統合実行にルールがどれだけ費やしたかを測定します。
      • 脆弱性マネージャーワークスペースでの修復作業を非アクティブ化/削除するためのプロビジョニング。
      • 修復タスクの概要ページの歪みの問題。
      • IT 修復ワークスペースから脆弱性エントリーを選択したときに修復オーナーで発生する 403 アクセスエラー。
      • 検出されたアイテムのクラウドアカウント名は、スキャナーから更新されたクラウドアカウント名を受信すると更新されます。
    脆弱性対応 コンフィグレーションコンプライアンス コンテナ向け (2.12.2)
    • 変更:
      • レジストリを CVIT 粒度キーとして追加できるようになりました。
      • CVIT 粒度構成には、ITOM プラグインがインストールされているかどうかに応じてスキャナーまたはディスカバリーデータに基づいて粒度を選択できる 2 つのオプション (スキャナーまたはディスカバリー情報) が含まれています。
      • 検出結果キーの一意のキーとしてパスを追加しました。つまり、パッケージが複数の場所に存在し、複数の検出結果が得られる可能性があります
      • Prisma ホスト統合の実行時に検出されたアイテムのクラウドリソースタイプを設定
    脆弱性対応共通 (2.11.3)
    新規:脆弱性マネージャーワークスペースと IT 修復ワークスペースで、ホスト脆弱性一致アイテム (VIT)、アプリケーション脆弱性一致アイテム (AVIT)、コンテナ脆弱性一致アイテム (CVIT)、およびテスト結果 (TR) の修復タスク (RT) を手動で作成できるように改善しました。
    脆弱性対応共通ワークスペース (1.4.1)
    新規:脆弱性マネージャーワークスペースと IT 修復ワークスペースで修復タスク (RT) を手動で作成する機能をサポートする機能が共通フレームワークに追加されました。
    Microsoft Threat and Vulnerability Management との脆弱性対応の統合 (2.6.2)
    変更: TVM からの CVE レコードに CVSS スコアが入力されていることを確認します。
    脆弱性対応と Tenable の統合 (4.1.1)
    • 新規:
      • Tenable CVSS 3.0 マッピングを [脆弱性] 列に追加しました。
      • 検出されたアイテムのソースペイロードデータにシリアル番号が含まれるようになりました。
    脆弱性対応Veracode (4.6.1) との統合
    • 変更:コンテナ脆弱性一致アイテム (CVIT) が最初に検出され、最後に開かれ、解決され、最後に発見された正確な日時を確認できるようになり、明確さが確保され、さまざまなタイムゾーンが考慮されます。
    • 修正済み:CVIT フォームの UI アクションと検証が、現在のステータスと一致するようになりました。
    脆弱性対応 Palo Alto Networks Prisma Cloud Compute (3.1.3) との統合
    修正済み:Prisma ホストスキャナーからの脆弱性一致アイテムと検出の [初回検出] フィールドに値が入力されるようになりました。