脆弱性対応Veracode リリースノートとの統合

  • リリースバージョン: Store
  • 更新日 2025年01月30日
  • 読む15読むのに数分

    • ServiceNow Store上の Veracode との 脆弱性対応 統合のバージョン履歴。

    重要:
    システム要件とファミリーの互換性の詳細については、ServiceNow Store Web サイトのアプリケーションリストを参照してください。

    バージョン履歴

    バージョン 2.12.2 - 2025 年 2 月
    • 変更:コンテナ脆弱性一致アイテム (CVIT) が最初に検出され、最後に開かれ、解決され、最後に発見された正確な日時を確認できるようになり、明確さが確保され、さまざまなタイムゾーンが考慮されます。
    • 修正済み:CVIT フォームの UI アクションと検証が、現在のステータスと一致するようになりました。
    バージョン 4.5.1 - 2024 年 11 月
    • 修正済み:
      • ソフトウェア構成分析 (SCA) 検出結果に対するスキャン更新のデータ不一致に対して提供される修正。
      • 特に Veracode リンクプロジェクトと Veracode SBOM 統合の再試行エラーとスキップエラーに対処するためのエラー処理の修正。これら 2 つの統合で削除されたアプリケーションをサポートするために、ユーザーは 403 エラーと 404 エラーをスキップして 50x エラーを再試行することを選択できます。
    • 変更:
      • Veracode からインポートされた SCA 検出結果データの最終更新を優先するスキャンを選択できます。Veracode 設定ページでは、変更するまでは [Default] が設定値です。[SCA 検出結果を含める] チェックボックスをオンにして、リストからいずれかを選択する必要があります。
        • エージェント:エージェントスキャン結果は、SCA 検出結果の最終更新を行います
        • アップロード:アップロードスキャン結果は、SCA 検出結果の最終更新を行います
        • デフォルト:エージェントスキャンまたはアップロードスキャンのいずれかで最後に処理されたスキャンによって、SCA 検出結果が最終的に更新されます
    • 注:構成ページで [SCA 検出結果を含める] チェックボックスをオンにしないと、リストから選択したスキャンは使用されず、最後に処理されたスキャンによって最終的な更新が行われます。
    • Now Platform からインポートされたアプリケーションの Veracode による追加と削除のサポート。
    • プラットフォームが Veracode によって既に削除されたアプリケーションを要求する場合にエラーを防ぐには、[sn-vul-veracode.app-mark-unseen-apps-inactive] システムプロパティの値を「true」に設定します。このプロパティが「true」 (アクティブ化) に設定されている場合、アプリケーションリスト統合のインポートが成功すると、プラットフォーム内の未表示のアプリケーションが「非アクティブ」としてマークされます。
    バージョン 4.4.2 - 2024 年 10 月
    • ソフトウェア構成分析 (SCA) 検出結果に対するスキャン更新のデータ不一致のために提供された修正。
    • Veracode からインポートされた SCA 検出結果データの最終更新を優先するスキャンを選択できます。Veracode 設定ページでは、変更するまでは「デフォルト」が設定値です。[SCA 検出結果を含める] チェックボックスをオンにして、リストから検出結果を選択する必要があります。
      • エージェント:エージェントスキャン結果は、SCA 検出結果の最終更新を行います
      • アップロード:アップロードスキャン結果により、SCA 検出結果が最終的に更新されます
      • デフォルト:エージェントスキャンまたはアップロードスキャンのいずれかで最後に処理されたスキャンによって、SCA 検出結果が最終的に更新されます
    • 注: 構成ページで「SCA 検出結果を含める」チェック・ボックスを選択しないと、リストから選択したスキャンは使用されず、最後に処理されたスキャンによって最終的な更新が行われます。
    • Now Platform からインポートされた Veracode によるアプリケーションの追加と削除をサポートします。
      • プラットフォームが Veracode によって既に削除されたアプリケーションを要求する場合にエラーを防ぐには、[sn-vul-veracode.app-mark-unseen-apps-inactive] システムプロパティの値を「true」に設定します。このプロパティが「true」 (アクティブ化) に設定されている場合、アプリケーションリスト統合のインポートが成功すると、プラットフォーム内の未表示のアプリケーションが「非アクティブ」としてマークされます。
    • 特に Veracode リンクプロジェクトと Veracode SBOM 統合の再試行エラーとスキップエラーに対処するためのエラー処理の修正。これら 2 つの統合で削除されたアプリケーションをサポートするために、ユーザーは 403 エラーと 404 エラーをスキップして 50x エラーを再試行することを選択できます。
    バージョン 4.3.3 - August 2024
    • 新規:
      • Veracode 脆弱性統合構成ページの改善:
        • API リージョンと API タイムアウトパラメーターがサポートされています。
        • SBOM Response がインストールされている場合は、アップロードする SBOM ファイルに Veracode で検出された脆弱性を含めることができます。
      • Vericode' は、アップロードする Veracode SBOM ファイルの部品表 [sn_sbom_doc] テーブルにあるレコードの [ソース] フィールドにマッピングされます。
    • 修正済み:
      • 次の改善をサポートするために、データマッピングが変更されました。
        • アプリケーション脆弱性一致アイテム (AVIT) では、[ソース解決日] フィールドと [最終検出日] フィールドが入力されます。
        • ソースの追加情報の属性のフィルタリング機能では、キーと値のペアが文字列フィールドに保持されます。
    バージョン 4.2.7 - June 2024
    新規:アプリケーション脆弱性一致アイテムの自動クローズが Veracode 統合でサポートされています。
    バージョン 4.2.4 - 2024 年 5 月
    • 新規:
      • アプリケーション脆弱性一致アイテム (sn_vul_app_vulnerable_item) テーブルの Veracode アプリケーション脆弱性一致アイテム (AVIT) の [詳細を取得] を選択するか、脆弱性対応ワークスペースのリストビューから [詳細を取得] を選択して、Veracode からの次の情報で Veracode AVIT を更新します。
        • DAST スキャンの HTTP ソース要求とソース応答の詳細は、HTTP の [要求/応答] 関連リストに表示されます。
        • Veracode からのソリューションの推奨事項が [検出結果] 関連リストに表示されます。
        • 脆弱性対応ワークスペースの [詳細] タブで、HTTP ソース要求、ソース応答、および推奨事項を表示できます。
        • [説明] 列は、アプリケーション脆弱性一致アイテム (sn_vul_app_vulnerable_item) テーブルでサポートされています。
      • 合計処理時間、統合前後のプロセスの平均時間、統合実行レコードに関するレポートなどの詳細を表示します。
    バージョン 4.1.11 - March 2024
    修正済み:ビジネスアプリケーション参照が、Veracode ソフトウェア部品表 (SBOM) 統合の実行中に検出されたアプリケーションデータを使用して解決され、期待どおりに BOM エンティティにマッピングされます。
    バージョン 4.1.8 - 2024 年 2 月
    • 新規:
      • 構成アイテム (CI) ルックアップルールを再適用して、既存の CI (スキャンされたアプリケーションと製品モデル) を更新できます。
      • [グループ構成] タブの修復タスクレコードから、アプリケーション脆弱性一致アイテム (AVIT) の修復タスク (AVUL) を手動で作成します。
    • 修正済み:
      • アプリケーション脆弱性一致アイテムレコード (AVIT) の機能拡張により、次の情報を表示できます。
        • 依存関係と修復作業の情報。
        • 想定どおりに入力された脆弱性値。
    バージョン 4.1.6 - December 2023
    修正済み:Veracode リンクプロジェクトテーブルにレコードを手動で作成することはできません。Veracode リンクプロジェクト統合を実行して、データをフェッチします。
    バージョン 4.1.3 - 2023 年 11 月

    新規:

    • 新規:
      • 設定ページのフィルターパラメーターを使用すると、Veracode によって提供される重大度の値に一致するレコードのみを一覧表示できます。フィルターには複数の重大度の値を追加できます。
      • バッファー時間は、sn_vul_veracode.import_starttime_buffer システムプロパティを使用して構成可能なパラメーターです。バッファー (時間単位) は、開始時間 (delta_start_time) から減算されます。スキャナーは、新しい派生デルタ開始時間に結果を取得します。
      • Veracode 設定ページの [ServiceNow での例外の管理]および[ServiceNow での誤検出の管理]オプションは、ServiceNow ワークフローを使用してインポートされたアプリケーションの脆弱性をトリアージするのに役立ちます。これらのオプションはデフォルトでアクティブ化されています。
        • ServiceNow 例外管理ワークフローを使用して、ServiceNowTriages アプリケーション脆弱性一致アイテム (AVI) で例外を管理します。AVI は [オープン] に移行し、AVI レコードに例外を要求します。Veracode からインポートされた AVI のソースステータスを保持するには、このオプションを無効にします。
        • ServiceNow での誤検出の管理 誤検出ワークフローを使用して誤検出をトリアージします。AVI は [オープン] に移行され、AVI レコードからの誤検出を要求します。Veracode からインポートされた AVI のソースステータスを保持するには、このオプションを無効にします。
    • 変更: ステータスマッピングでサポートされる組み合わせが増えたことで、ServiceNow での例外の管理と ServiceNow での誤検出の管理のトリアージ設定に基づいて、スキャナーインポートをインスタンス内の関連するステータスにマッピングできるようになります。
    • 修正済み:AVI ID のソースのフィールドと、アプリケーション ID、コンポーネント ID、および CVE ID の組み合わせが想定どおりにフィールドに入力されます。データは、リンクされた SCA プロジェクトとソースエクスプロイトスコアに対して保存されます。
    バージョン 4.0.4 - September 2023
    修正済み: Veracode レポート API は 6 か月間のリクエストをサポートします。脆弱性一致アイテム統合は、想定どおり 6 か月間の「インポート開始」日付のデータをインポートします。
    バージョン 4.0.3 - 2023 年 8 月
    新規:
    • JSON REST API を介してデータをインポートするために、Veracode アプリケーションリスト、Veracode スキャンサマリー、アプリケーション脆弱性一致アイテムの統合が追加されました。XML ベースの API を使用していたこれらの統合のバージョンは廃止されました。
    • Veracode カテゴリ統合は「カテゴリ」データをインポートします。
    • Veracode 統合は、ソフトウェア構成分析 (SCA) 脆弱性のインポートをサポートしています。
    • Veracode 手動ペネトレーションテスト結果のインポートがサポートされています。これらのテスト結果は、統合インスタンスでインポート用に構成した Veracode からの手動検出結果です。アプリケーション脆弱性対応で要求したテストアセスメントにはリンクされません。
    • Veracode CWE 統合は、Veracode 脆弱性の脅威情報と修復の推奨事項をインポートします。脆弱性対応でこの統合を有効にし、CWE 包括的な統合を有効にしている場合、脆弱性データは複製されません。
    • Veracode ソフトウェア部品表 (SBOM) 統合は、CycloneDX JSON 形式の Veracode から SBOM をインポートします。SBOM データを解析して表示するには、ServicNow Store で入手可能な SBOM アプリケーションをインストールする必要があります。
    • Veracode DevOps 統合により、DevOps チェンジベロシティライセンスを持つユーザーは、DevOps のセキュリティオペレーションからサードパーティスキャンサマリーを表示できます。この統合は脆弱性統合 [sn_vul_integration_list] テーブルにリストされますが、アプリケーション脆弱性対応には影響しません。
    • [統合インスタンスパラメーター] タブで、次のパラメーターを設定できます。
      • 手動インポート:Veracode から手動ペネトレーションテスト結果をインポートします。
      • import_sca - SCA 脆弱性をインポートします。
      • ステータス:「オープン」または「クローズ済み」状況のレコードをインポートします。このフィールドを空白のままにすると、両方のステータスのレコードがインポートされます。
      • policy_sandbox - 「ポリシー」または「サンドボックス」を入力して、テスト環境から結果をインポートします。
      • policy_rule_passed:ポリシールールに合格したレコードをインポートします (true)。
    • アプリケーション脆弱性のスキャンサマリー [sn_vul_app_vul_scan_summary] テーブルで、構成アイコン (歯車) を使用して新しい列のデータを表示します。
    バージョン 4.0.3 - 2023 年 8 月 (Vancouver)
    新規:
    • JSON REST API を介してデータをインポートするために、Veracode アプリケーションリスト、Veracode スキャンサマリー、アプリケーション脆弱性一致アイテムの統合が追加されました。XML ベースの API を使用していたこれらの統合のバージョンは廃止されました。
    • Veracode カテゴリ統合は「カテゴリ」データをインポートします。
    • Veracode 統合は、ソフトウェア構成分析 (SCA) 脆弱性のインポートをサポートしています。
    • Veracode 手動ペネトレーションテスト結果のインポートがサポートされています。これらのテスト結果は、統合インスタンスでインポート用に構成した Veracode からの手動検出結果です。アプリケーション脆弱性対応で要求したテストアセスメントにはリンクされません。
    • Veracode CWE 統合は、Veracode 脆弱性の脅威情報と修復の推奨事項をインポートします。脆弱性対応でこの統合を有効にし、CWE 包括的な統合を有効にしている場合、脆弱性データは複製されません。
    • Veracode ソフトウェア部品表 (SBOM) 統合は、CycloneDX JSON 形式の Veracode から SBOM をインポートします。SBOM データを解析して表示するには、ServicNow Store で入手可能な SBOM アプリケーションをインストールする必要があります。
    • Veracode DevOps 統合により、DevOps チェンジベロシティライセンスを持つユーザーは、DevOps のセキュリティオペレーションからサードパーティスキャンサマリーを表示できます。この統合は脆弱性統合 [sn_vul_integration_list] テーブルにリストされますが、アプリケーション脆弱性対応には影響しません。
    • [統合インスタンスパラメーター] タブで、次のパラメーターを設定できます。
      • 手動インポート:Veracode から手動ペネトレーションテスト結果をインポートします。
      • import_sca - SCA 脆弱性をインポートします。
      • ステータス:「オープン」または「クローズ済み」状況のレコードをインポートします。このフィールドを空白のままにすると、両方のステータスのレコードがインポートされます。
      • policy_sandbox - 「ポリシー」または「サンドボックス」を入力して、テスト環境から結果をインポートします。
      • policy_rule_passed:ポリシールールに合格したレコードをインポートします (true)。
    • アプリケーション脆弱性のスキャンサマリー [sn_vul_app_vul_scan_summary] テーブルで、構成アイコン (歯車) を使用して新しい列のデータを表示します。
    バージョン 3.5.0 - 2023 年 2 月
    修正済み:Veracode アプリケーションリストの JSON 統合に関連するページネーションの問題が修正されました。
    バージョン 3.4.0 - 2022 年 11 月
    • 新規:デルタ取り込みのサポートを提供する新しい統合、Veracode アプリケーションリスト JSON 統合が導入されました。
    • 変更: アプリケーションの脆弱性とスキャンサマリーは、前回のインポート日以降にスキャンされたアプリケーションからのみ取り込むことができるようになりました。
    バージョン 3.3.0 - March 2022
    新規:ServiceNow 内でトリアージを実行するオプションが追加されました。例外を要求するか、AVI を誤検出としてマークするには、このオプションを有効にします。AVI の新しいステータスマッピングロジックを使用します。
    バージョン 3.2.0 - February 2022
    このバージョンには、新しい機能や更新プログラムは含まれていません。このバージョンでは、前回のリリースの機能が San Diego ファミリリリースと互換性があることが保証されています。
    バージョン 3.1.0 - October 2021
    依存関係アプリケーションのバージョン番号が更新されました。
    バージョン 3.0.1 - 2021 年 6 月
    新規:SAST の検出結果を取り込み、アプリケーションのセキュリティリスクを検出し、これらの脆弱性の修正に役立てます。
    バージョン 2.0.0 - 2021 年 2 月
    新規:[SDLC ステータス]、[脆弱性のサマリー]、[脆弱性の説明]、および [推奨事項] として追加フィールドがインポートされ、アプリケーション脆弱性一致アイテムフォームに表示するようにマッピングされました。
    バージョン 1.0.1 - December 2020
    修正。
    バージョン 1.0.0 - 2020 年 10 月
    • 新規:
      • 脆弱性対応と Veracode の統合の初期リリース
      • 動的アプリケーションセキュリティテスト (DAST) をサポート