Veracode Vulnerability Integration の構成

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む6読むのに数分

    • インスタンスで統合を実行する前に、インストールと構成のステップを完了して、アプリケーション脆弱性対応Veracode 製品と適切に統合されるようにします。このアプリケーションは別のサブスクリプションとして利用できます。

    始める前に

    インストールの前に、次のセットアップチェックリストを完了します。これらのセットアップタスクは、インストールと構成をスムーズに行うために必要です。
    注:
    このプロセスは、本番インスタンスにダウンロードしたアプリケーションにのみ適用されます。準本番インスタンスまたは開発インスタンスにアプリケーションをダウンロードする場合は、資格付与の取得は必要ありません。「ServiceNow Store アプリケーションのアクティブ化」に進みます。
    セットアップタスク 説明
    脆弱性対応 アプリケーションがインストールされ、アクティブ化されていることを確認します。

    このアプリケーションがアクティブ化されていることを確認するには、次の場所に移動します。 サブスクリプション管理 > サブスクリプション すぐに利用できますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「脆弱性対応 のインストール」を参照してください。
    脆弱性対応 Integration with Veracode アプリケーションがインストールされ、アクティブ化されていることを確認します。

    このアプリケーションがアクティブ化されていることを確認するには、次の場所に移動します。 サブスクリプション管理 > サブスクリプション すぐに利用できますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「ServiceNow Vulnerability Response Integration with Veracode のインストール」を参照してください。
    インスタンスに必要な ServiceNow ロールがあることを確認します。 期待される結果を構成および検証するには、次のロールが必要です。
    • まだアサインされていない場合、システム管理者 [admin] はアプリをインストールして、ユーザーをアプリセキュリティマネージャーユーザーグループにアサインします。
    • アプリセキュリティマネージャーは構成を監督し、期待される結果を検証します。

    Veracode アプリケーション脆弱性統合の場合は、API IDAPI キーを用意してください。

    Veracode に問い合わせ、[API ID][API キー] を取得してください。「Veracode Vulnerability Integration の準備」を参照してください。

    バージョン 4.0 以降では、Veracode Vulnerability Integration を使用している場合は、Veracode Vulnerability Integration のペネトレーションアセスメントテストは Veracode からの手動検出結果になります。これらの検出結果は、アプリケーション脆弱性対応 で構成したペネトレーションテストアセスメント要求にはリンクされません。アプリケーション脆弱性対応 でのペネトレーションテスト要求の詳細については、「ペネトレーションテストの構成」を参照してください。
    必要なロール:アプリセキュリティマネージャーユーザーグループ

    手順

    1. 移動先 すべて > Veracode 脆弱性統合 > 構成.
    2. [API ID] フィールドと [API キー] フィールドに入力します。
    3. テスト結果を選択します。
      オプション説明
      バージョン 4.0:
      1. インポートに含める [DAST] または [SAST] データタイプを選択します。
        注:
        いずれか、または両方を選択できますが、少なくとも 1 つを選択する必要があります。
      2. Software Composition Analysis (SCA) 脆弱性をインポートするには、[SCA] を選択します。
      3. Veracode から手動ペネトレーションテストの結果をインポートするには、[手動を含める (Include Manual)] を選択します。これらの結果に対して AVI が作成されます。
      バージョン 3.0 インポートに含める [DAST] または [SAST] データタイプを選択します。
      注:
      いずれか、または両方を選択できますが、少なくとも 1 つを選択する必要があります。
      バージョン 1.0:

      デフォルトでは、ダイナミックアプリケーションセキュリティのテスト結果が選択されています。
    4. インポートされたデータをフィルタリングするための Veracode 重大度 レベルを追加します。
      この値は Veracode からインポートされます。フィールドには複数の値を追加できます。入力されている場合、インポートでは、追加した重大度レベルに一致するデータのみが収集されます。
    5. 選択内容を保存して検証します。
      オプション説明
      バージョン 3.0:
      [資格情報を保存してテスト] をクリックします。
      注:
      エラーメッセージが表示されない限り、構成は正常に完了しています。構成中にエラーメッセージが表示される場合は、データを再入力します。
      バージョン 1.0:

      [保存] をクリックします。

      [資格情報をテスト] をクリックして、構成が正常であることを確認します。

      注:
      エラーメッセージが表示されない限り、構成は正常に完了しています。構成中にエラーメッセージが表示される場合は、データを再入力します。
    6. インポート時に AVI の例外と誤検出を管理する方法を選択します。
      例外管理および誤検出ワークフローを使用して ServiceNow インポート時の AVI を管理するオプションは、デフォルトでアクティブ化されています。ワークフローは、AVI の ソース ステータスがインスタンスでどのようにマッピングされているかに基づいてトリガーされます。使用例については、「」を参照してください での保留と誤検出のステータスマッピングの管理 アプリケーション脆弱性対応
      有効
      での例外の管理 ServiceNow
      保留ステータスとしてマークされたインポート済み AVI をトリアージする場合は、このオプションを有効のままにします。

      通常はインスタンスで保留ステータスにマッピングされるソースステータスを持つ AVI は、代わりに [オープン] にマッピングされます。

      AVI レコードから 例外を要求 します。

      での誤検出の管理 ServiceNow
      インポートされた AVI をソースステータスが検出または誤検出の可能性としてマークされている状態でトリアージする場合は、このオプションを有効のままにします。

      通常、インスタンスで [クローズ済み] ステータスにマッピングされるこれらのソースステータスを持つ AVI は、[オープン] にマッピングされます。

      AVI レコードから 誤検出 を要求します。
      非アクティブ化済み

      スキャナーからインポートされた ソース ステータスを保持する場合は、一方または両方のチェックボックスを無効にします。

      これらの AVI はインポート時に [ ターゲット] および [ターゲット理由 ] のステータスにマッピングされますが、例外および誤検出ワークフローによってトリアージされません。例外の要求誤検出アクションは、AVI には表示されません。
    7. [資格情報を保存してテスト] を選択します。

    次のタスク

    環境でドメイン分離インポートが必要な場合は、「統合のためのドメイン分離インポートの作成」を参照してください。

    初期インストールの手順の詳細については、「アプリケーション脆弱性対応 の構成」を参照してください。

    初期インストール後の変更については、「Veracode Vulnerability Integration の変更とアクティビティ」を参照してください。