Veracode 脆弱性統合

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:9分

    • 脆弱性対応 Integration with Veracode アプリケーションでは、Veracode 製品からインポートしたデータを使用して、コードの欠陥の影響と優先度を判断できます。

    Veracode 脆弱性統合

    Veracode 製品は、ダイナミックアプリケーションセキュリティテスト (DAST)、スタティックアプリケーションセキュリティテスト (SAST)、および手動スキャナーデータを収集し、そのデータを Now Platform® で利用できるようにします。脆弱性対応アプリケーション脆弱性対応 機能と簡単に統合し、サードパーティ脆弱性をマッピングして、データをインスタンスに拡張します。

    脆弱性対応 の v19.0 以降では、ソフトウェアアプリケーションの脆弱性を特定するために、Software Composition Analysis (SCA) と ソフトウェア部品表 (SBOM) の脆弱性データをインポートすることができます。詳細については、「ソフトウェア部品表 の詳細」を参照してください。

    共有 API は、DAST、SAST、SCA データ、および手動ペネトレーションテスト結果を取り込みます。

    統合レコードごとに run-as ユーザーが構成されています。このユーザーのデフォルト値は VR.System です。この値は変更しないでください。

    スケジュール済みジョブにより、統合がリストされている順序で毎日自動的に呼び出されます。スケジュール済みジョブを手動で実行することもできます。スケジュール済みジョブでは、インスタンスを他の脆弱性管理システムと同期させることで、脆弱性修復ライフサイクルを簡素化します。

    Veracode から詳細を取得

    v4.2 以降において次の Veracodeデータを表示する場合、[アプリケーション脆弱性一致アイテム] [sn_vul_app_vulnerable_item] テーブルまたは [脆弱性対応ワークスペース] のリストビューより、ソースとして Veracode を有するアプリケーション脆弱性一致アイテム (AVIT) の [詳細情報を取得] を選択します。

    • 動的アプリケーションセキュリティテスト (DAST) スキャンに関する HTTP ソース要求およびソース応答の詳細が、HTTP 要求/応答の関連リストに表示されます。
    • Veracode からのソリューション推奨事項が [検索結果] 関連リストに表示されます。
    • HTTP ソース要求、ソース応答、および推奨事項は、脆弱性対応 脆弱性対応 ワークスペースの [詳細] タブに表示されます。
    • [説明] 列は、アプリケーション脆弱性一致アイテム [sn_vul_app_vulnerable_item] テーブルでサポートされています。

    利用可能バージョン

    リリースバージョン リリースノート

    Veracode v4.3

    Veracode v4.2

    Veracode v4.1

    		 Application Vulnerability Response release notes

    互換性情報については、「KB0856498 脆弱性対応互換性マトリクスおよびリリーススキーマの変更」を参照してください。

    ユーザーグループおよびロール

    Veracode 脆弱性統合 はシステムアドミニストレーター [admin] によってインストールされ、アプリセキュリティマネージャーグループのメンバーによって構成されます。詳細については、「アプリケーション脆弱性対応 のユーザーロールおよびロール」を参照してください。

    Veracode 脆弱性統合

    Veracode脆弱性統合を表示するには、次の場所に移動します。 すべて > Veracode 脆弱性統合 > 統合.

    ベースシステムには、次の統合が含まれています。

    表 : 1. Veracode 脆弱性統合
    統合 説明
    v4.1 以降:Veracode プロジェクトのリンク統合 統合はデフォルトで有効化されています。アプリケーションごとに、関連するすべてのプロジェクトを Veracode から取得します。
    アプリケーションは、Veracode アプリケーション内に複数のプロジェクトを含めることができます。この統合からインポートされたデータが次のレコードに表示されます。
    • 前回の SCA スキャン日アプリの作成日、 およびアプリの更新日は、[検出されたアプリケーション] のレコードに一覧表示されます。
    • アプリケーション脆弱性のスキャンサマリーレコードとアプリケーション脆弱性一致アイテム (AVIT) に、 ソース SDLC ステータス (ソフトウェア開発ライフサイクル) が表示されます。
    • ソースの利用性は、アプリケーション脆弱性一致アイテム (AVI) レコードに表示されます。
    Veracode アプリケーションリスト統合 (JSON) この統合は、デフォルトでは非アクティブです。Veracode アプリケーションスキャナーデータ (脆弱性、メタデータ) を取得し、アプリケーションデータを拡張します。

    JSON ベースの API を介して Veracode からスキャンレコードを取得します。
    Veracode アプリケーションリスト統合 (XML) この統合は、デフォルトでは非アクティブです。この統合の XML ベースバージョンは非アクティブ化 (廃止) されました。Veracode アプリケーションスキャナーデータ (脆弱性、メタデータ) を取得し、アプリケーションデータを拡張します。この統合は毎日 00:00:00 に実行するように設定されます。
    注:
    Veracode 以降、アプリケーションのリストを取得するために JSON ベースの API が使用されています。この API は、これらのアプリケーションの「前回のポリシーコンプライアンスチェック日」をインポートし、これらのアプリケーションが Veracodeによって最後にスキャンされた日時を示します。
    Veracode ソフトウェア部品表 (SBOM) 統合
    Veracode 脆弱性統合 のバージョン 4.3 では、Veracode SBOM ファイルで以下の機能拡張が行われています。
    • SBOM Response がインストールされている場合、アップロードする SBOM ファイルに Veracode で検出された脆弱性を含めることができます。
    • Veracode は、Veracode SBOM ファイルの部品表 [sn_sbom_doc] テーブルにあるレコードの [ソース] フィールドにマッピングされます。

    統合はデフォルトで有効化されています。v4.2 以降、Veracode で生成された CycloneDX および SPDX 形式の ソフトウェア部品表 ファイルをインポートし、インスタンスで解析できるようキューに格納します。このデータをインポートして表示するには、ソフトウェア部品表 アプリケーションがインストールされている必要があります。
    Veracode スキャンサマリー統合 (JSON)

    この統合は、デフォルトでは非アクティブです。JSON ベースの API を介して Veracode からスキャンレコードを取得します。この統合は、XML ベースの API 統合に代わるものです。これは、連結され Veracode アプリケーションリスト統合に従います (有効な場合)。
    Veracode スキャンサマリー (XML)

    この統合は、デフォルトでは非アクティブです。この統合の XML ベースバージョンは非アクティブ化 (廃止) されました。Veracode からスキャンレコードを取得します。この統合は、連結され Veracode アプリケーションリスト統合に従います (有効な場合)。

    注:
    自動的に Veracode アプリケーションリスト統合に従います (有効な場合)。Veracode からのアプリケーションの「前回のポリシーコンプライアンスチェック日」を使用すると、この統合では、この統合の「delta_start_time」の後にスキャンされたアプリケーションのデータのみが取得されます。
    Veracode アプリケーション脆弱性一致アイテムの JSON 統合

    v4.2 以降では、合計処理時間や統合前後でのプロセスの平均実行時間などの詳細情報を表示したり、アプリケーション脆弱性一致アイテムの統合での統合実行レコードに関するレポートを作成したりすることができます。

    この統合は、デフォルトでは非アクティブです。Veracode から、XML ベースの統合よりも多くの脆弱性データを含むスキャン結果を取得します。AVI を挿入してサードパーティ脆弱性データを強化します。
    Veracode アプリケーション脆弱性一致アイテム統合 (XML)

    v4.2 以降では、合計処理時間や統合前後でのプロセスの平均実行時間などの詳細情報を表示したり、アプリケーション脆弱性一致アイテムの統合での統合実行レコードに関するレポートを作成したりすることができます。

    この統合は、デフォルトでは非アクティブです。Veracode からスキャン結果を取得し、アプリケーション脆弱性アイテム (AVIT) を挿入して、サードパーティ脆弱性データを拡張します。デフォルトでは、スキャナーレコードが [クローズ済み] ステータスの場合、AVIT は作成されません。既存の AVIT は引き続き更新されます。

    この統合は連結され、Veracode スキャンサマリー統合に従います (有効な場合)。Veracode スキャンサマリー JSON 統合の XML ベースの API は廃止されました。

    注:
    Veracode スキャンサマリー統合に自動的に従います。Veracode からのアプリケーションの「前回のポリシーコンプライアンスチェック日」を使用すると、この統合では、この統合の「delta_start_time」の後にスキャンされたアプリケーションのデータのみが取得されます。
    Veracode カテゴリ統合 この統合は、デフォルトでは非アクティブです。Veracode から拡張カテゴリデータを取得します。
    Veracode CWE 統合

    統合はデフォルトで有効化されています。脅威情報と修復推奨事項のために、Veracode 固有の共通脆弱性タイプ一覧 (CWE) データを取得します。これらのデータは、アプリケーション脆弱性エントリレコードで入力および更新されます。

    この CWE 統合は、脆弱性対応 アプリケーションに対してアクティブ化する CWE Comprehensive 2000 統合 (CWE Comprehensive 2000 Integration) スケジュール済みジョブから独立して動作します。

    Veracode CWE 統合 (Veracode CWE Integration) と CWE Comprehensive 2000 統合 (CWE Comprehensive 2000 Integration) が有効になっている場合、データは複製されません。
    Veracode DevOps 統合 この統合は、デフォルトでは非アクティブです。この統合は、アプリケーション脆弱性対応 の [アプリケーション脆弱性統合] リストに表示されます。DevOps チェンジベロシティライセンスをお持ちの場合、この機能は、DevOps ユーザーがサードパーティの脆弱性スキャンのサマリー詳細を表示するために SecOps ライセンスを必要としない構造になっています。アプリケーション脆弱性対応 への影響や変更はありません。

    統合実行状況については、「Veracode アプリケーション脆弱性統合のインポート実行状況の表示」を参照してください。

    サードパーティの脆弱性データを表示する方法については、「脆弱性ライブラリの表示」を参照してください。