Veracode 脆弱性統合 の変更とアクティビティ

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:6分

    • Veracode 脆弱性統合専用のオプションの変更を構成します。

    Veracode 脆弱性統合 によってインポートされた追加データの表示

    注:
    ここに記載されている以外の Veracode 脆弱性統合 の設定を変更するには、ServiceNow および アプリケーション脆弱性対応 に関する高度な専門知識が必要であり、製品ドキュメントの範囲を超えています。

    Veracode から詳細を取得

    v4.2 以降において次の Veracodeデータを表示する場合、[アプリケーション脆弱性一致アイテム] [sn_vul_app_vulnerable_item] テーブルまたは [脆弱性対応ワークスペース] のリストビューより、ソースとして Veracode を有するアプリケーション脆弱性一致アイテム (AVIT) の [詳細情報を取得] を選択します。

    • 動的アプリケーションセキュリティテスト (DAST) スキャンに関する HTTP ソース要求およびソース応答の詳細が、HTTP 要求/応答の関連リストに表示されます。
    • Veracode からのソリューション推奨事項が [検索結果] 関連リストに表示されます。
    • HTTP ソース要求、ソース応答、および推奨事項は、脆弱性対応 脆弱性対応 ワークスペースの [詳細] タブに表示されます。
    • [説明] 列は、アプリケーション脆弱性一致アイテム [sn_vul_app_vulnerable_item] テーブルでサポートされています。

    Veracode 統合インスタンスパラメーターの変更

    初期インストール後に Veracode 統合インスタンスで Veracode 統合のパラメーターを変更できます。

    始める前に

    必要なロール:アプリセキュリティマネージャーグループ

    このタスクについて

    統合のインスタンスから統合のパラメーターを変更して、取り込むデータのタイプを決定できます。これらの設定の一部では、統合の設定ページからこれらのパラメーターを変更することもできます。

    手順

    1. 移動先 すべて > アプリケーション脆弱性対応 > 管理 > 統合.
    2. 変更する Veracode 統合の [ソースインスタンス] 列で [Veracode アプリケーション脆弱性 (Veracode Application Vulnerability)] を選択します。
    3. [統合インスタンスパラメーター] タブを選択し、[値] 列のフィールドをダブルクリックして値を変更します。

      脆弱性対応 の v19.0 および Veracode 脆弱性統合 の v4.0 以降では、Veracode 統合の次のパラメーターを構成できます。

      import manual
      Veracode から手動ペネトレーションテストの結果をインポートするには、true を入力します。この値は、統合設定ページから変更することもできます。

      Veracode 脆弱性統合 のペネトレーションアセスメントテストは Veracode からの手動検出結果になります。これらの検出結果は、アプリケーション脆弱性対応 で構成したペネトレーションテストアセスメント要求にはリンクされません。アプリケーション脆弱性対応 でのペネトレーションテスト要求の詳細については、「ペネトレーションテストの構成」を参照してください。

      import_sca
      Software Composition Analysis (SCA) 脆弱性をインポートするには、true と入力します。この値は、統合設定ページから変更することもできます。
      status
      Open」または「Closed」と入力して、必要なステータスの検出結果をインポートします。このフィールドを空のままにすると、統合は [オープン] ステータスと [クローズ済み] ステータスの両方の検索結果をインポートします。
      policy_sandbox
      policy」または「sandbox」と入力して、ポリシーまたはサンドボックスに対応するレコードをインポートします。これらのレコードは、環境でのアプリケーションのテスト方法に関連している可能性があります。
      policy_rule_passed
      true」または「false」と入力して、ポリシールールに合格したレコードをインポートします。これらのレコードは、環境でのアプリケーションのテスト方法に関連している可能性があります。
    4. [更新] を選択して、変更を保存します。

    手動 Veracode アプリケーション脆弱性インポートの実行

    初期インポートに失敗した場合、またはスケジュールされた初期インポートを待ちたくない場合は、日次スケジュール済みジョブから独立して完全なデータインポートを実行できます。

    始める前に

    必要なロール:アプリセキュリティマネージャーグループ

    手順

    1. 移動先 すべて > Veracode 脆弱性統合 > 統合.
    2. 統合を選択します (Veracode アプリケーションリスト統合など)。
    3. [今すぐ実行] をクリックします。
      注:
      Veracode アプリケーション脆弱性統合はそれぞれ、最も完全なデータ検索機能を提供することを目的としています。順序どおりに実行しないと、不完全なデータになる可能性があります。ServiceNow および アプリケーション脆弱性対応 の専門知識が必要になります。
      インポートが完了すると、スケジュール設定されたインポートが再開します。
    4. 統合実行状況については、「Veracode アプリケーション脆弱性統合のインポート実行状況の表示」を参照してください。
    5. 他の統合パラメーターを変更する場合は、統合インスタンスに移動する必要があります。

    Veracode 脆弱性統合のインポート時間の設定

    必要に応じて Veracode 脆弱性統合 の開始時間をリセットできます。

    始める前に

    必要なロール:アプリセキュリティマネージャーグループ

    このタスクについて

    最初のインポート後に、Veracode 脆弱性統合の実行ごとに完全インポートが実行されます。インポートの実行の詳細については、「手動 Veracode アプリケーション脆弱性インポートの実行」を参照してください。

    手順

    1. 移動先 すべて > Veracode 脆弱性統合 > 統合.
    2. 統合を選択します。
    3. 新しく [開始時間] を設定します。
      時間は現地時間で時間単位で計算されます。Veracode アプリケーションリスト統合インポートのデフォルト時間は 00:00:00 です。他の統合は [オンデマンド] であり、Veracode アプリケーションリスト統合の後に実行されるようにチェーンされます。これらのいずれかの [開始時間] を変更するには、ServiceNow および アプリケーション脆弱性管理 の高度な専門知識が必要です。
    4. [更新] をクリックします。
      新しい時間は、次のスケジュール済みインポートに使用されます。

    クローズされた Veracode アプリケーション脆弱性一致アイテムを含める

    デフォルトでは、[クローズ済み] アプリケーション脆弱性一致アイテム (AVI) は、Veracode の脆弱性一致アイテム統合インポート中に作成されません。作成する場合は、システムプロパティを変更する必要があります。

    始める前に

    Veracode 脆弱性統合 がインストールされ、実行されている必要があります。

    必要なロール:admin

    手順

    1. 左側のナビゲーションの [フィルターナビゲーター] テキストボックスに「sys_properties.list」と入力します。
    2. リストの [名前] 検索ボックスに、「sn_vul.create_closed」と入力します。
    3. [値] フィールドをダブルクリックし、[True] に設定します。
    4. 緑色のチェックマークアイコン 緑色のチェックマークアイコン をクリックして保存します。
      次の Veracode インポートで [クローズ済み] ステータスのレコードは、アプリケーション脆弱性対応 に AVI として作成されます。