GitHub アプリケーション脆弱性統合
GitHub アプリケーション脆弱性統合は、静的アプリケーションセキュリティテスト (SAST) およびソフトウェア構成分析 (SCA) データをインポートして、GitHub 環境のリポジトリで脆弱性アラートを表示するのに役立ちます。
GitHub 脆弱性統合
GitHub アプリケーション脆弱性統合はスキャナーデータを収集し、そのデータを Now Platform®. サードパーティ脆弱性と GitHub アラートを脆弱性対応インスタンスにマッピングする機能と簡単に統合ServiceNow® アプリケーション脆弱性対応できます。
GitHub 環境は複数の組織をサポートしています。これらの組織には、オンプレミスとエンタープライズの両方に、エンジニアリング、品質、ドキュメントなどのさまざまな部門が含まれている場合があります。各組織は、複数のリポジトリをサポートできます。この統合により、これらのリポジトリから脆弱性アラートデータがインポートされます。インポートされたデータは、アプリケーション内で アプリケーション脆弱性対応 アプリケーションと同様に処理されます。スキャナーが脆弱性を検出し、リポジトリのアラートを生成すると、Application Vulnerability Response に脆弱性が作成されます。
統合レコードごとに run-as ユーザーが構成されています。このユーザーのデフォルト値は VR.System です。この値は変更しないでください。
データのプルに必要なスコープは リポジトリです。
利用可能バージョン
| リリースバージョン | リリースノート |
|---|---|
| 1.0 | Application Vulnerability Response release notes 互換性情報については、「KB0856498 Vulnerability Response 互換性マトリクスおよびリリーススキーマの変更」を参照してください。 |
GitHub 統合
| 統合 | 説明 |
|---|---|
| GitHub CodeScan 統合 | GitHub リポジトリからセキュリティ脆弱性とコーディングエラーのコードスキャン脆弱性アラートを取得します。インポートされたデータは、インスタンスの SAST 結果にマッピングされます。 |
| GitHub Dependabot 統合 | 既知の脆弱性がある依存関係の Dependabot アラートをリポジトリから取得します。インポートされたデータは、インスタンスの SCA 結果にマッピングされます。 |
インポートされたデータの表示
GitHub Dependabot Integration からインポートされたデータ (検出結果) は、次のテーブルに表示されます。
- 検出されたアプリケーション [sn_vul_app_release]。
- アプリケーション脆弱性のスキャンサマリー [sn_vul_app_vul_scan_summary]。
- アプリケーション脆弱性一致アイテム [sn_vul_app_vulnerable_item]。
- パッケージ [sn_vul_app_package]。
GitHub CodeScan 統合からインポートされたデータは、次のテーブルに表示されます。
- 検出されたアプリケーション [sn_vul_app_release]。
- アプリケーション脆弱性のスキャンサマリー [sn_vul_app_vul_scan_summary]。
- アプリケーション脆弱性エントリー [sn_vul_app_vul_entry]。
- アプリケーション脆弱性一致アイテム [sn_vul_app_vulnerable_item]。