GitHub アプリケーション脆弱性統合の準備

Xanadu セキュリティ管理

Release: xanadu
ft:locale: ja-JP
ft:publication_title: Xanadu セキュリティ管理
ft:clusterId: security
bundleId: security
workflow: Technology

GitHub アプリケーション脆弱性統合の準備

リリースバージョン: Xanadu

更新日 2024年08月01日

所要時間：2分

これらのタスクを実行して、統合の準備をします。GitHub アプリケーション脆弱性統合は、GitHub 製品と API に精通していることを前提としています。

統合レコードごとに run-as ユーザーが構成されています。このユーザーのデフォルト値は VR.System です。この値は変更しないでください。

必要なロール：

アプリケーションのダウンロード、インストール、アクティブ化、およびロールのアサインを行うアドミン。
GitHub コンソールで認証情報を取得してトークンを生成する GitHub アドミニストレーター。
インスタンスで接続とエイリアスレコードを設定するアドミン。

表 : 1. セットアップタスク
セットアップタスク	説明
脆弱性対応アプリケーションがインストールされ、アクティブ化されていることを確認します。	このアプリケーションがアクティブ化されていることを確認するには、サブスクリプション管理 > サブスクリプションすぐに利用できますリストには、組織で購入したサブスクリプションが表示されます。アプリケーションがインストールもアクティブ化もされていない場合は、「脆弱性対応のインストール」を参照してください。
GitHub アプリケーション脆弱性統合がインストールされ、アクティブ化されていることを確認します。	このアプリケーションがアクティブ化されていることを確認するには、サブスクリプション管理 > サブスクリプションすぐに利用できますリストには、組織で購入したサブスクリプションが表示されます。アプリケーションがインストールもアクティブ化もされていない場合は、「ServiceNow GitHub アプリケーション脆弱性統合をインストールする」を参照してください。
インスタンスに必要な ServiceNow ロールがあることを確認します。	期待される結果を構成および検証するには、次のロールが必要です。まだアサインされていない場合、システムアドミニストレーター [admin] はアプリをインストールして、ユーザーをアプリセキュリティマネージャーユーザーグループにアサインします。アプリセキュリティマネージャーは構成を監督し、期待される結果を検証します。 sn_vul_github_config_integration は、アプリセキュリティマネージャーユーザーグループに継承されます。このロールには、connection_admin ロールと oauth_admin ロールが含まれています。
GitHub の認証情報とアカウント情報を取得します。	認証用に作成するレコードには、アカウント情報が必要です。OAuth 認証に必要な詳細と必要なレコードの設定については、「GitHub アプリの OAuth 2.0 認証情報の作成 - GitHub アプリケーション脆弱性統合用の JWT」を参照してください。
共通脆弱性タイプ一覧 (CWE) データをインポートしていることを確認します。	共通脆弱性タイプ一覧 (CWE) 統合はアプリケーション脆弱性対応でも使用され、GitHub 脆弱性統合をインストールして構成する前に実行する必要があります。脆弱性対応では、デフォルトでインストールされます。注: NIST 脆弱性データベース (NVD) データは、GitHub 脆弱性統合のインストールには必要ありませんが、拡張が提供されるので便利です。NVD の詳細については、「NVD と CWE の統合によるデータのインポートとサードパーティライブラリの管理」を参照してください。