Vulnerability Response Integration with Black Duck のデータ変換
インポートするデータを特定すると、Vulnerability Response Integration with Black Duck からデータが取得され、一連のデータソースによって処理され、インスタンス内で変換されます。
Vulnerability Response Integration with Black Duck
API のデータは最初に Black Duck AppVul アイテムインポート [sn_vul_blackduck_appvul_item_import] テーブルにロードされ、Black Duck AppVul アイテム変換を使用してインポートされた情報が変換されます。
この変換マップにアクセスするには、 をクリックし、「 Black Duck AppVul Item Transform」を検索します。次の表に、統合別の変換マップフィールドを示します。
| ソースフィールド | ターゲットフィールド | 説明 |
|---|---|---|
| app_id | source_app_id | アプリケーション ID |
| issueid | source_avit_id | AVIT ID |
| app_name | app_name | アプリケーション名。 |
| version | app_version | アプリケーションのバージョン |
| build_id | source_scan_id | アプリケーションのビルド ID |
| account_id | account_id | アカウント ID |
| sandbox_id | sandbox_id | サンドボックス ID |
| last_update_time | last_scan_date | 最終更新時間 |
| app_name + last_scan_date | scan_summary_name | スキャンサマリー |
| life_cycle_stage | source_sdlc_status | ソース SDLC ステータス |
| level | source_severity | ソース重大度 |
| category_name | category | カテゴリ |
| source_severity | source_severity | ソース重大度 |
| category_id + " CWE-" + cweId | source_entry_id | ソースエントリー ID |
| source_vulnerability_summary | source_vulnerability_summary | ソース脆弱性のサマリー |
| source_recommendation | source_recommendation | ソースの推奨事項 |
| description | description | ソースの説明 |
| description | source_vulnerability_explanation | ソース脆弱性の説明 |
| mitigation_status_desc | source_mitigation_status | ソース緩和ステータス |
| remediation_status | source_remediation_status | ソース修復ステータス |
| line | line_number | 欠陥が見つかった行 |
| module | application_module | アプリケーションモジュール |
| sourcefile | source_notes | ソースメモ |
| affects_policy_compliance | complies_with_policy | 値は、true または false のソース情報に基づいて [はい] または [いいえ] になります。 |
| Sourcefilepath + sourcefile | 場所 | 静的な欠陥の位置マッピング。 |
| URL | 場所 | 動的な欠陥の場所マッピング。 |
| scope、type、exploitLevel | source_additional_info | 静的な欠陥の場合にソースから値が入力される名前値フィールド。 |
次の表は、変換プロセス中に実行される変換スクリプトのリストです。
Black Duck 変換マップスクリプトのタイミングと目的
| スクリプトが実行されるタイミング | 目的 |
|---|---|
| onStart (インポートセットが変換を作成したとき)。 | レコードを処理し、作成済み、更新済みまたは未変更のエンティティの数と、この統合の一部としてインポートされたエンティティの数を更新するために使用されるスクリプト。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |
| onBefore (インポートセットの変換が完了する前)。 | 無効で無視する必要があるレコードの動作を定義するために使用されるスクリプト。また、レコード処理のグローバルオブジェクトを定義するためにも使用されます。このスクリプトは内部使用のためのものであり、変更または削除しないでください。 |
Black Duck 統合ステータスマッピング
Black Duck 脆弱性統合からのソースステータスと、インスタンス内のターゲットステータスを次の表に示します。
| Black Duck ソースステータス | ソース状況の説明 | Now Platform のターゲットステータス |
|---|---|---|
| 新規 | 脆弱性はこのコンポーネントバージョンに影響します。 | オープン |
| Needs Review (要レビュー) | 脆弱性がこのコンポーネントバージョンに影響を与えるかどうかは判断できません。 | オープン |
| 修復が必要 | このバージョンには修復が必要です。 | オープン |
| 修正が完了 | この脆弱性の修復が完了しました。 | クローズ済み |
| 脅威緩和 | 脆弱性が緩和されました。 | クローズ済み |
| パッチ済み | 脆弱性にパッチが適用されました。 | クローズ済み |
| 無視 | 脆弱性は無視されました。 | クローズ済み |