GitHub アプリケーション脆弱性統合 の構成

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • インスタンスで統合を実行する前に、インストールと構成のステップを完了して、アプリケーション脆弱性対応が GitHub 製品と適切に統合されるようにします。このアプリケーションは別のサブスクリプションとして利用できます。

    始める前に

    必要なロール:
    • アプリセキュリティマネージャーグループ
    • OAuth の設定に必要な sn_vul.app_sec_manager

    手順

    1. 次のように移動する。 All (すべて) > GitHub 脆弱性統合 > 構成.
    2. 認証タイプで [ベーシック認証] または [OAuth] を選択します。
    3. 選択したタイプに基づいてフィールドに入力します。
      ベーシック認証
      表 : 1.
      フィールド 説明
      API URL Enterprise またはオンプレミスの適切な GitHub API URL。デフォルトの URL は https://api.github.com です。オンプレミスは GitHub エンドポイント URL です。
      API トークン GitHub コンソールから生成したトークン。
      API タイプ 1 つ選択:
      組織
      特定の組織のデータを名前でインポートする場合は、このオプションを選択します。GitHub 環境は複数の組織をサポートしています。各組織は複数のリポジトリをサポートできます。組織を入力すると、その組織のデータのみがインポートされます。
      Enterprise
      Enterprise 環境は複数の組織をサポートしています。Enterprise (クラウド) 環境内のすべての組織から脆弱性データをインポートする場合は、このオプションを選択します。
      組織名 GitHub リポジトリの名前。入力した組織のデータのみがインポートされます。
      MID サーバー ベーシック認証のオンプレミスインスタンス用の MID サーバーが必要です。
      例外管理と誤検出を管理するには、オプションを選択します。

      インポート時に自動的に ServiceNow ワークフローを使用して、アプリケーション脆弱性一致アイテム (AVI) の例外管理と誤検出を管理するためのオプションを選択します。

      ServiceNow での例外の管理
      [保留]ステータスとしてマークされたインポート済み AVI をトリアージする場合は、このオプションを有効のままにします。

      通常はインスタンスで [保留] 状況にマッピングされる [ソース] 状況を持つ AVI は、代わりに [オープン] にマッピングされます。

      AVI レコードから例外を要求します。

      ServiceNow での誤検出の管理
      インポートされた AVI を [ソース]状況が誤検出または潜在的な誤検出としてマークされている状態でトリアージする場合は、このオプションを有効のままにします。

      通常はインスタンスで [ソース] 状況にマッピングされる [クローズ済み] 状況を持つ AVI は、代わりに [オープン] にマッピングされます。

      AVI レコードから誤検出を要求します。
      • スキャナーからインポートされた [ソース] ステータスを保持する場合は、いずれかまたは両方のチェックボックスをオフにします。
      • 非アクティブにすると、例外の要求誤検出アクションは、AVI には表示されません。
      統合インスタンス データをインポートするインスタンス。

      OAuth

      表 : 2.
      フィールド 説明
      API URL Enterprise またはオンプレミスの適切な GitHub API URL。デフォルトの URL は https://api.github.com です。オンプレミスは GitHub エンドポイント URL です。
      接続 作成した接続は「GitHub アプリの OAuth 2.0 認証情報の作成 - GitHub アプリケーション脆弱性統合 用の JWT」に記載されています。
      API タイプ 1 つ選択:
      組織
      特定の組織のデータを名前でインポートする場合は、このオプションを選択します。GitHub 環境は複数の組織をサポートしています。各組織は複数のリポジトリをサポートできます。組織を入力すると、その組織のデータのみがインポートされます。
      Enterprise
      Enterprise 環境は複数の組織をサポートしています。Enterprise (クラウド) 環境内のすべての組織から脆弱性データをインポートする場合は、このオプションを選択します。
      注:

      GitHub アプリはエンタープライズレベルの API をサポートしていません。
      組織名 GitHub リポジトリの組織名。入力した組織内のリポジトリからのデータのみがインポートされます。
      例外管理と誤検出を管理するには、オプションを選択します。

      インポート時に自動的に ServiceNow ワークフローを使用して、アプリケーション脆弱性一致アイテム (AVI) の例外管理と誤検出を管理するためのオプションを選択します。

      ServiceNow での例外の管理
      [保留]ステータスとしてマークされたインポート済み AVI をトリアージする場合は、このオプションを有効のままにします。

      通常はインスタンスで [保留] 状況にマッピングされる [ソース] 状況を持つ AVI は、代わりに [オープン] にマッピングされます。

      AVI レコードから例外を要求します。

      ServiceNow での誤検出の管理
      インポートされた AVI を [ソース]状況が誤検出または潜在的な誤検出としてマークされている状態でトリアージする場合は、このオプションを有効のままにします。

      通常はインスタンスで [ソース] 状況にマッピングされる [クローズ済み] 状況を持つ AVI は、代わりに [オープン] にマッピングされます。

      AVI レコードから誤検出を要求します。
      • スキャナーからインポートされた [ソース] ステータスを保持する場合は、いずれかまたは両方のチェックボックスをオフにします。
      • 非アクティブにすると、例外の要求誤検出アクションは、AVI には表示されません。
    4. [認証情報を保存してテスト] を選択します。
    5. 他の統合を実行する前に、GitHub リポジトリ統合を実行します。
      他の GitHub 統合は、リポジトリ統合からインポートされた現在のアプリケーションデータに依存します。リポジトリ統合からのデータは、検出されたアプリケーション [sn_vul_app_release] テーブルに保存されます。詳細については、「GitHub アプリケーション脆弱性統合 インポートの実行ステータスとインポートされたリポジトリデータを表示する」を参照してください。