Veracode Vulnerability Integration

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む8読むのに数分

    • 脆弱性対応 Integration with Veracode アプリケーションでは、Veracode 製品からインポートしたデータを使用して、コードの欠陥の影響と優先度を判断できます。

    Veracode Vulnerability Integration

    Veracode 製品は、ダイナミックアプリケーションセキュリティテスト (DAST)、スタティックアプリケーションセキュリティテスト (SAST)、および手動スキャナーデータを収集し、そのデータを Now Platform® で利用できるようにします。脆弱性対応アプリケーション脆弱性対応 機能と簡単に統合し、サードパーティ脆弱性をマッピングして、データをインスタンスに拡張します。

    脆弱性対応 の v19.0 以降では、ソフトウェアアプリケーションの脆弱性を特定するために、Software Composition Analysis (SCA) と Software Bill of Materials (SBOM) の脆弱性データを取り込むことができます。詳細については、「ソフトウェア部品表 の詳細」を参照してください。

    共有 API は、DAST、SAST、SCA データ、および手動ペネトレーションテスト結果を取り込みます。

    Veracode の v4.0 以降では、専用の Veracode API を使用して CycloneDx JSON 形式の SBOM ファイルをアップロードします。ソフトウェア プロジェクトで使用しているコンポーネントと、それらのリリース、バージョン、および関連する脆弱性に関する情報を特定します。この統合により、SBOM が CycloneDx JSON 形式で生成され、解析のためにインスタンスにアップロードされます。ServiceNow ソフトウェア部品表アプリケーションが必要です。

    統合レコードごとに run-as ユーザーが構成されています。このユーザーのデフォルト値は VR.System です。この値は変更しないでください。

    ジョブスケジュールにより、統合がリストされている順序で毎日自動的に呼び出されます。ジョブスケジュールを手動で実行することもできます。ジョブスケジュールでは、インスタンスを他の脆弱性管理システムと同期させることで、脆弱性修復ライフサイクルを簡素化します。

    利用可能バージョン

    リリースバージョン リリースノート

    Veracode 4.1

    Veracode 4.0

    Veracode 3.5

    Veracode 3.4

    		 Application Vulnerability Response release notes

    互換性情報については、「KB0856498 Vulnerability Response 互換性マトリクスおよびリリーススキーマの変更」を参照してください。

    ユーザーグループおよびロール

    Veracode Vulnerability Integration はシステム管理者 [admin] によってインストールされ、アプリセキュリティマネージャーグループのメンバーによって構成されます。詳細については、「アプリケーション脆弱性対応 のユーザーロールおよびロール」を参照してください。

    Veracode Vulnerability Integration

    脆弱性統合を表示するには Veracode 、次に移動します。 すべて > Veracode 脆弱性統合 > 統合.

    ベースシステムには、次の統合が含まれています。デフォルトでは、Veracode アプリケーションリスト統合のみがアクティブです。

    表 : 1. Veracode Vulnerability Integration
    統合 説明
    v4.1 以降: Veracode プロジェクトのリンク 統合 アプリケーションごとに、この統合は関連するすべてのプロジェクトを Veracodeから取得します。
    アプリケーションは、 Veracode アプリケーション内に複数のプロジェクトを含めることができます。統合からインポートされたデータは、次のレコードに表示されます。
    • 前回の SCA スキャン日、アプリの 作成日およびアプリの更新日 は、[ 検出されたアプリケーション] のレコードに一覧表示されます。
    • アプリケーション脆弱性のスキャンサマリーレコードと AVI に、 ソース SDLC ステータス (ソフトウェア開発ライフサイクル) が表示されます。
    • ソースの利用可能性 は、アプリケーション脆弱性一致アイテム (AVI) レコードに表示されます。
    v4.0 以降: Veracode アプリケーションリスト JSON 統合 Veracode アプリケーションスキャナーデータ (脆弱性、メタデータ) を取得し、アプリケーションデータを拡張します。

    JSON ベースの API を介して Veracode からスキャンレコードを取得します。
    v4.0 以降:Veracode アプリケーションリスト統合は廃止されました。 Veracode アプリケーションスキャナーデータ (脆弱性、メタデータ) を取得し、アプリケーションデータを拡張します。この統合は毎日 00:00:00 に実行するように設定されます。
    注:
    v3.4 以降、Veracode の JSON ベースの API がアプリケーションのリストを取得するために使用されています。この API は、これらのアプリケーションの「前回のポリシーコンプライアンスチェック日」の取り込み機能を提供し、これらのアプリケーションが Veracode によって最後にスキャンされた日時を示します。以前の XML ベースの統合は、非アクティブ (非推奨) に変更されました。
    v4.0 以降:Veracode Software Composition Analysis (SBOM) 統合 Veracode SBOM API を使用して、特定のアプリケーションの SBOM をフェッチします。ソフトウェアプロジェクトのコンポーネントに関する、Veracode で作成された リリース、バージョン、および脆弱性の情報を取り込みます。この統合により、SBOM が CycloneDx JSON 形式で生成され、解析のためにインスタンスにアップロードされます。このデータを取得して表示するには、SBOM アプリ <link> をインストールする必要があります。
    v4.0 以降:Veracode スキャンサマリー JSON 統合

    JSON ベースの API を介して Veracode からスキャンレコードを取得します。この統合は、XML ベースの API 統合に代わるものです。これは、次の Veracode アプリケーションリスト統合を実行できるように連結されます (有効な場合)。これはデフォルトで非アクティブです。
    v4.0 以降:Veracode スキャンサマリーは廃止されました。

    この統合の XML ベースの API は廃止されました。

    Veracode からスキャンレコードを取得します。この統合は、次の Veracode アプリケーションリスト統合を実行できるように連結されます (有効な場合)。これはデフォルトで非アクティブです。

    注:
    v3.4 以降、この統合はデフォルトで [アクティブ] で [オンデマンド] です。Veracode アプリケーションリスト統合後に自動的にトリガーされます。Veracode からのアプリケーションの「前回のポリシーコンプライアンスチェック日」を使用すると、この統合では、この統合の「delta_start_time」の後にスキャンされたアプリケーションのデータのみが取得されます。
    v4.0 以降:Veracode アプリケーション脆弱性一致アイテム JSON 統合

    Veracode から、XML ベースの統合よりも多くの脆弱性データを含むスキャン結果を取得します。IT は AVI を挿入してサードパーティ脆弱性データを強化します。
    v4.0 以降:Veracode アプリケーション脆弱性一致アイテム統合は廃止されました。

    Veracode スキャンサマリー JSON 統合の XML ベースの API は廃止されました。

    		 Veracode からスキャン結果を取得し、AVI を挿入してサードパーティ脆弱性データを拡張します。v3.0 以降は、スキャナーレコードが [クローズ済み] ステータスの場合、AVI はデフォルトで作成されません。既存の AVI は引き続き更新されます。

    この統合は、次の Veracode スキャンサマリー統合を実行できるように連結されます (アクティブな場合)。これはデフォルトで非アクティブです。

    注:
    v3.4 以降、この統合はデフォルトで [アクティブ] で [オンデマンド] です。Veracode スキャンサマリー統合後に自動的にトリガーされます。Veracode からのアプリケーションの「前回のポリシーコンプライアンスチェック日」を使用すると、この統合では、この統合の「delta_start_time」の後にスキャンされたアプリケーションのデータのみが取得されます。
    v4.0 以降:Veracode カテゴリ統合 Veracode から拡張カテゴリデータを取得します。
    v4.0 以降:Veracode CWE 統合

    脅威情報と修復推奨事項のために、Veracode 固有の共通脆弱性タイプ一覧 (CWE) データを取得します。これらのデータは、アプリケーション脆弱性エントリレコードで入力および更新されます。

    この CWE 統合は、脆弱性対応 アプリケーションに対してアクティブ化する CWE Comprehensive 2000 統合 (CWE Comprehensive 2000 Integration) ジョブスケジュールから独立して動作します。

    Veracode CWE 統合 (Veracode CWE Integration) と CWE Comprehensive 2000 統合 (CWE Comprehensive 2000 Integration) が有効になっている場合、データは複製されません。
    v4.0 以降:Veracode DevOps 統合 この統合は、アプリケーション脆弱性対応 の [アプリケーション脆弱性統合] リストに表示されます。DevOps Change Velocity ライセンスをお持ちの場合、この機能は、DevOps ユーザーがサードパーティの脆弱性スキャンのサマリー詳細を表示するために SecOps ライセンスを必要としない構造になっています。アプリケーション脆弱性対応 への影響や変更はありません。

    統合実行ステータスについては、「Veracode アプリケーション脆弱性統合のインポート実行ステータスの表示」を参照してください。

    サードパーティの脆弱性データを表示する方法については、「脆弱性ライブラリの表示」を参照してください。