アプリケーション脆弱性対応 リリースノート
ServiceNow® アプリケーション脆弱性対応アプリケーションは、セキュリティと IT を統合して、最も重要な脆弱性をより迅速かつ効率的に修正できるようにします。アプリケーション脆弱性対応 は Zurich リリースで拡張および更新されました。
Zurich リリースでの Application Vulnerability Response の特長
- ペネトレーションテストの要求と検出結果、およびチームの全体的な進捗状況をペネトレーションテストワークスペースで監視します。
- 脆弱性マネージャーのワークスペースで、特定のアプリケーション脆弱性一致アイテムセットのリスクスコア、アサイン、修復ターゲット日、例外、および修復タスクを再評価します。
- サポートされているサードパーティのスキャナーと統合して、脆弱性データをインポートします。
- アプリケーション脆弱性関連データを比較して、アプリケーション内にアプリケーション脆弱性があるかが判断されます。
- アプリケーション脆弱性一致アイテム (AVIT) に優先順位を付け、修復し、管理します。各アプリケーション脆弱性は、共通脆弱性タイプ一覧 (CWE) またはサードパーティライブラリ内の脆弱性エントリーを表します。
- sn_vul.app_sec_manager ロールを使用して、脆弱性マネージャーワークスペースでアプリケーション修復タスクを手動で作成します。
- sn_vul.app_sec_manager ロールを使用して、脆弱性マネージャーワークスペースでアプリケーション修復タスクを手動で作成します。
詳細については、「Application Vulnerability Response」を参照してください。
重要:
アプリケーション脆弱性対応 は、ServiceNow Store で入手可能です。詳細については、これらのリリースノートの「アクティベーション情報」セクションを参照してください。
アプリケーション脆弱性対応をチューリッヒにアップグレードする際の重要な情報
- 脆弱性対応の新機能の詳細については、 脆弱性対応 リリースノートを参照してください。
- アプリケーション脆弱性対応アプリケーションのリリースバージョン、Zurich リリースと互換性のあるサードパーティアプリケーションや ServiceNow アプリケーションについて詳しくは、Now Support ナレッジベースの「Vulnerability Response Compatibility Matrix and Release Schema Changes (脆弱性対応互換性マトリクスおよびリリーススキーマの変更) [KB0856498]」の記事を参照してください。
チューリッヒリリースの新機能
- アプリケーション脆弱性対応の機能拡張
- アサイン解除ワークフローは、アプリケーション脆弱性一致アイテム (AVIT) と修復タスク (AVUL) でサポートされています。
- AVIT のその他のアクションメニューから [ アサイン解除 ] UI アクションを使用して、アプリケーション脆弱性のアサインを簡素化します。
- 誤ってアサインされた AVIT を再アサインし、再アセスメントのための所有権を明確にし、ワークスペースビューで正確なトリアージレコードを維持します。
- レコードの [アサイン先] フィールドと [アサイン先グループ] フィールドをクリアする前に、承認のためにアサイン解除要求を送信するオプションがあります。
- Github アクションを介した SBOM ドキュメントのアップロード
- GitHub アクションを使用して、有効なソフトウェア部品表 (SBOM) ドキュメントを ServiceNow プラットフォームにアップロードします。
- 脆弱性マネージャーワークスペースでのアプリケーション修復タスクの手動作成
- sn_vul.app_sec_manager ロールを使用すると、 脆弱性マネージャーワークスペースのアプリケーション脆弱性一致アイテムのリストで一部またはすべてのレコードを選択することで、アプリケーション修復タスクを手動で作成できます。これらのレコードは、アプリケーション修復タスクの作成時に選択したグループ化基準に従って、1 つ以上の修復タスクにグループ化されます。
- IT 修復ワークスペースでアプリケーション修復タスクを手動で作成する
- sn_vul.app_security_champion ロールを使用すると、 IT 修復ワークスペースのアプリケーション脆弱性一致アイテムリストで目的のレコードを選択することで、アプリケーション修復タスクを手動で作成できます。これらのレコードは、アプリケーション修復タスクの作成時に選択したグループ化基準に従って、1 つ以上の修復タスクにグループ化されます。
- アプリケーション脆弱性統合のための脆弱性の手動取り込み
- 標準化されたテンプレート (CSV、Excel など) を介して外部ソースから AVIT をインポートし、ペネトレーションテスト結果のライフサイクルを管理します。影響を受けるアプリケーション、脆弱性の説明、重大度、修正の推奨事項などの詳細を含む、その他の必要な詳細を含む脆弱性データを取り込めるようになりました。この機能拡張により、さまざまなソースからの脆弱性データを一元化されたペネトレーションテストワークスペースに統合するプロセスを簡素化できます。
- ペネトレーションテストワークスペース
-
ペネトレーションテストワークスペースで、ペネトレーションテストの要求と検出結果、およびチームの全体的な進捗状況を監視します。ダッシュボードで次のデータを可視化して、注意が必要なテストに優先順位を付け、結果を追跡し、割り当てを表示します。
- 重要な項目。
- 重大な状況別のペネトレーションテスト要求。
- 報告された結果。
- アサインに基づく全体的な修正の進捗状況。
- ペネトレーションテストアセスメント要求の機能拡張
- ペネトレーションテストワークスペースのペネトレーションテストアセスメント要求フォームには、[完全ペネトレーション]、[集中]、および [再テスト] に加えて、次のアセスメントタイプが含まれています。
- 緊急リリース - セキュリティの脆弱性などの重大な問題に対処するための迅速なソフトウェア更新に必要な緊急リリースをサポートします。
- バグ報奨金プログラム - セキュリティの脆弱性を見つけて報告する倫理的なハッカーに報酬を与えます。
- リリース承認 - 新しいソフトウェアを展開する前に、必要なすべてのチェックが完了していることを確認します。
- ワンオフレビュー - 通常の開発サイクルとリリースサイクル以外の特定のプロジェクトを評価して、パフォーマンスを評価し、改善を実装します。
- エグゼクティブの関心 - 組織内の重要なプロジェクトに対する上級管理職の関与とサポートに関するレポート。
[リリース承認] フィールドと [リリースノート] フィールドの機能拡張により、ペネトレーションテストの結果の品質とセキュリティを確保できます。
[リリース承認] フィールドに次のステータスが追加されました。- 適用外 (デフォルト)。
- 承認済み。
- 拒否されました。
[リリースノート] フィールドに、リリース承認の理由を示す詳細を追加できます。
- ペネトレーションテストアセスメント要求からの手動 AVIT 作成用に CWE を関連付ける
- ペネトレーションテストアセスメント要求の [ペネトレーションテスト結果] タブでは、手動で作成された AVIT の [ 脆弱性 ] フィールドに共通脆弱性タイプ一覧 (CWE) または共通脆弱性識別子 (CVE) を関連付けることができます。
- での変更要求の作成 アプリケーション脆弱性対応
- sn_vul.app_sec_manager ロールと sn_vul.app_sec_champion ロールを持つユーザー、および ITIL ロールを持つ sn_vul.app_developer ロールを持つユーザーは、 アプリケーション脆弱性対応 アプリケーションの修復タスクから変更要求を作成できます。変更要求を作成して、手動での介入が必要なアプリケーション脆弱性 (AVIT) の調査を迅速化します。
- 構成アイテム (CI) として分類されるスキャン済みアプリケーションについて、事前入力された情報を使用して変更要求を作成します。
- アプリケーション脆弱性対応の変更要求ワークフローは、脆弱性対応でサポートされているワークフローと似ています。脆弱性対応変更要求ワークフローの詳細については、「Change management for Vulnerability Response」を参照してください。
注:変更要求は、検出されたアプリケーションが構成アイテム (CI) に関連付けられている場合にのみ、 アプリケーション脆弱性対応 でサポートされます。検出されたアプリケーションを CI に関連付けるには、製品モデルの使用 [sn_vul.use_product_model] システムプロパティで [製品モデル] を False に設定する必要があります。 - の機能拡張 ソフトウェア部品表 ワークスペース
-
- ソフトウェア部品表 SBOM SBOM ワークスペースから一括編集を使用して、複数の BOM エンティティレコードとその関連コンポーネントを削除できます。
- 削除された BOM エンティティに関連付けられているアプリケーション脆弱性一致アイテム (AVIT) は、自動的に [クローズ済み] に移行されます。
- [作業メモ] セクションでの脆弱性一致アイテムのリスクスコアの詳細の表示
- アプリケーション脆弱性対応 v25.0.3 以降、システムプロパティsn_sec_cmn.risk_score_changes_add_worknotesはデフォルトで無効になっています。これを有効にした場合にのみ、アプリケーション脆弱性一致アイテムのリスクスコアに関連するすべての変更を [作業メモ] セクションで確認できます。また、作業メモは、リスクスコアに変更がある場合にのみ更新されます。
UI の変更
- サンゴのテーマ
- Coral は、 ネクストエクスペリエンス または コア UI が有効になっている新しいポータル、Web、およびモバイルエクスペリエンスのデフォルトテーマになりました。このテーマは、ユーザー エクスペリエンスを向上させるブランドニュートラルなイラストを特徴とし、新鮮なルック アンド フィールを提供します。ダークテーマオプションは、Web およびモバイルエクスペリエンスで使用できます。
このリリースでの変更
- 関連リストの最大行数の設定
- 読みやすさとパフォーマンスを向上させるために、システムプロパティ sn_vul_cmn.related_list.set_max_row を設定することで、フォームの関連リストに表示される行数を制限できるようになりました。
- 修復タスクと脆弱性一致アイテムの状況管理の改善
- 修復タスク (RT) から検出結果へのステータスのロールダウン、および検出結果から RT へのステータスのロールアップに関する状況管理ロジックが、すべてのモジュールで改善されました。更新により、アイテム状況 ([保留] と [クローズ済み] の組み合わせ) を処理し、[レビュー中] などのサブステータスでのタスクのクローズをサポートし、[アサイン先] フィールドに基づいてタスクを再オープンすることで、精度が向上します。この更新により、スキャナー結果を信頼できる情報源としてに基づく誤検出状況移行の処理も改善されます。これらの機能拡張により、手作業が削減され、タスク所有権が明確になり、修正ワークフローが簡素化されます。
アクティベーション情報
脆弱性対応 およびサードパーティの統合を ServiceNow Store から要求してインストールします。 ServiceNow Store Web サイトにアクセスして利用可能なすべてのアプリを表示し、ストアにリクエストを送信する方法について確認してください。リリースされたすべてのアプリのリリースノート情報については、「ServiceNow Storeバージョン履歴のリリースノート」を参照してください。