Veracode Vulnerability Integration の変更とアクティビティ

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • Veracode Vulnerability Integration専用のオプションの変更を構成します。

    注:
    ここに記載されている以外の Veracode Vulnerability Integration の設定を変更するには、ServiceNow および アプリケーション脆弱性対応 に関する高度な専門知識が必要であり、製品ドキュメントの範囲を超えています。

    Veracode 統合インスタンスパラメーターの変更

    初期インストール後に Veracode 統合インスタンスで Veracode 統合のパラメーターを変更できます。

    始める前に

    必要なロール:アプリセキュリティマネージャーグループ

    このタスクについて

    統合のインスタンスから統合のパラメーターを変更して、取り込むデータのタイプを決定できます。これらの設定の一部では、統合の設定ページからこれらのパラメーターを変更することもできます。

    手順

    1. 移動先 すべて > Application Vulnerability Response > 管理 > 統合.
    2. 変更する Veracode 統合の [ソースインスタンス] 列で [Veracode アプリケーション脆弱性 (Veracode Application Vulnerability)] を選択します。
    3. [統合インスタンスパラメーター] タブを選択し、[値] 列のフィールドをダブルクリックして値を変更します。

      脆弱性対応 の v19.0 および Veracode Vulnerability Integration の v4.0 以降では、Veracode 統合の次のパラメーターを構成できます。

      import manual
      Veracode から手動ペネトレーションテストの結果をインポートするには、true を入力します。この値は、統合設定ページから変更することもできます。

      Veracode Vulnerability Integration のペネトレーションアセスメントテストは Veracode からの手動検出結果になります。これらの検出結果は、アプリケーション脆弱性対応 で構成したペネトレーションテストアセスメント要求にはリンクされません。アプリケーション脆弱性対応 でのペネトレーションテスト要求の詳細については、「ペネトレーションテストの構成」を参照してください。

      import_sca
      Software Composition Analysis (SCA) 脆弱性をインポートするには、true と入力します。この値は、統合設定ページから変更することもできます。
      status
      Open」または「Closed」と入力して、必要なステータスの検出結果をインポートします。このフィールドを空のままにすると、統合は [オープン] ステータスと [クローズ済み] ステータスの両方の検索結果をインポートします。
      policy_sandbox
      policy」または「sandbox」と入力して、ポリシーまたはサンドボックスに対応するレコードをインポートします。これらのレコードは、環境でのアプリケーションのテスト方法に関連している可能性があります。
      policy_rule_passed
      true」または「false」と入力して、ポリシールールに合格したレコードをインポートします。これらのレコードは、環境でのアプリケーションのテスト方法に関連している可能性があります。
    4. [更新] を選択して、変更を保存します。

    手動 Veracode アプリケーション脆弱性インポートの実行

    初期インポートに失敗した場合、またはスケジュールされた初期インポートを待ちたくない場合は、日次ジョブスケジュールから独立して完全なデータインポートを実行できます。

    始める前に

    必要なロール:アプリセキュリティマネージャーグループ

    手順

    1. 移動先 すべて > Veracode 脆弱性統合 > 統合.
    2. 統合を選択します (Veracode アプリケーションリスト統合など)。
    3. [今すぐ実行] をクリックします。
      注:
      Veracode アプリケーション脆弱性統合はそれぞれ、最も完全なデータ検索機能を提供することを目的としています。順序どおりに実行しないと、不完全なデータになる可能性があります。ServiceNow および アプリケーション脆弱性対応 の専門知識が必要になります。
      インポートが完了すると、スケジュール設定されたインポートが再開します。
    4. 統合実行ステータスについては、「Veracode アプリケーション脆弱性統合のインポート実行ステータスの表示」を参照してください。
    5. 他の統合パラメーターを変更する場合は、統合インスタンスに移動する必要があります。

    Veracode Vulnerability Integrationのインポート時間の設定

    必要に応じて Veracode Vulnerability Integrationの開始時間をリセットできます。

    始める前に

    必要なロール:アプリセキュリティマネージャーグループ

    このタスクについて

    最初のインポート後に、Veracode 脆弱性統合の実行ごとに完全インポートが実行されます。インポートの実行の詳細については、「手動 Veracode アプリケーション脆弱性インポートの実行」を参照してください。

    手順

    1. 移動先 すべて > Veracode 脆弱性統合 > 統合.
    2. 統合を選択します。
    3. 新しく [開始時間] を設定します。
      時間は現地時間で時間単位で計算されます。Veracode アプリケーションリスト統合インポートのデフォルト時間は 00:00:00 です。他の統合は [オンデマンド] であり、Veracode アプリケーションリスト統合の後に実行されるようにチェーンされます。これらのいずれかの [開始時間] を変更するには、ServiceNow および アプリケーションの脆弱性管理 の高度な専門知識が必要です。
    4. [更新] をクリックします。
      新しい時間は、次のスケジュール設定済みインポートに使用されます。

    クローズされた Veracode アプリケーション脆弱性一致アイテムを含める

    デフォルトでは、[クローズ済み] アプリケーション脆弱性一致アイテム (AVI) は、Veracode の脆弱性一致アイテム統合インポート中に作成されません。作成する場合は、システムプロパティを変更する必要があります。

    始める前に

    Veracode Vulnerability Integration がインストールされ、実行されている必要があります。

    必要なロール:admin

    手順

    1. 左側のナビゲーションの [フィルターナビゲーター] テキストボックスに「sys_properties.list」と入力します。
    2. リストの [名前] 検索ボックスに、「sn_vul.create_closed」と入力します。
    3. [値] フィールドをダブルクリックし、[True] に設定します。
    4. 緑色のチェックマークアイコン 緑色のチェックマークアイコン をクリックして保存します。
      次の Veracode インポートで [クローズ済み] ステータスのレコードは、アプリケーション脆弱性対応 に AVI として作成されます。