Veracode 脆弱性統合の構成

チューリッヒセキュリティ管理

Release

zurich

ft:locale

ja-JP

ft:publication_title

チューリッヒセキュリティ管理

ft:clusterId

security

bundleId

security

workflow

Technology

Veracode 脆弱性統合の構成

リリースバージョン: Zurich

更新日 2025年07月31日

所要時間：6分

インスタンスで統合を実行する前に、インストールと構成のステップを完了して、アプリケーション脆弱性対応が Veracode 製品と適切に統合されるようにします。このアプリケーションは別のサブスクリプションとして利用できます。

始める前に

インストールの前に、次のセットアップチェックリストを完了します。これらのセットアップタスクは、インストールと構成をスムーズに行うために必要です。

注:

このプロセスは、本番インスタンスにダウンロードしたアプリケーションにのみ適用されます。非本番インスタンスまたは開発インスタンスにアプリケーションをダウンロードする場合は、エンタイトルメントの取得は必要ありません。「ServiceNow Store アプリケーションのアクティブ化」に進みます。


セットアップタスク	説明
脆弱性対応アプリケーションがインストールされ、アクティブ化されていることを確認します。	このアプリケーションがアクティブ化されていることを確認するには、次の場所に移動しますサブスクリプション管理 > サブスクリプションインスタンス内にありますリストには、組織で購入したサブスクリプションが表示されます。アプリケーションがインストールもアクティブ化もされていない場合は、「脆弱性対応のインストール」を参照してください。
脆弱性対応 Integration with Veracode アプリケーションがインストールされ、アクティブ化されていることを確認します。	このアプリケーションがアクティブ化されていることを確認するには、次の場所に移動しますサブスクリプション管理 > サブスクリプションインスタンス内にありますリストには、組織で購入したサブスクリプションが表示されます。アプリケーションがインストールもアクティブ化もされていない場合は、「ServiceNow Vulnerability Response Integration with Veracode のインストール」を参照してください。
インスタンスに必要な ServiceNow ロールがあることを確認します。	期待される結果を構成および検証するには、次のロールが必要です。まだアサインされていない場合、システムアドミニストレーター [admin] はアプリをインストールして、ユーザーをアプリセキュリティマネージャーユーザーグループにアサインします。アプリセキュリティマネージャーは構成を監督し、期待される結果を検証します。
Veracode アプリケーション脆弱性統合の場合は、API ID と API キーを用意してください。	Veracode に問い合わせ、[API ID] と [API キー] を取得してください。「Veracode 脆弱性統合の準備」を参照してください。バージョン 4.0 以降では、Veracode 脆弱性統合を使用している場合は、Veracode 脆弱性統合のペネトレーションアセスメントテストは Veracode からの手動検出結果になります。これらの検出結果は、アプリケーション脆弱性対応で構成したペネトレーションテストアセスメント要求にはリンクされません。アプリケーション脆弱性対応でのペネトレーションテスト要求の詳細については、「ペネトレーションテストの構成」を参照してください。

必要なロール：アプリセキュリティマネージャーユーザーグループ

手順

移動先すべて > Veracode 脆弱性統合 > 設定.
[API ID] フィールドと [API キー] フィールドに入力します。

テスト結果を選択します。

オプション	説明
バージョン 4.0：	インポートに含める [DAST] または [SAST] データタイプを選択します。注: いずれか、または両方を選択できますが、少なくとも 1 つを選択する必要があります。 Software Composition Analysis (SCA) 脆弱性をインポートするには、[SCA] を選択します。 Veracode から手動ペネトレーションテストの結果をインポートするには、[手動を含める (Include Manual)] を選択します。これらの結果に対して AVIT が作成されます。
バージョン 3.0	インポートに含める [DAST] または [SAST] データタイプを選択します。注: いずれか、または両方を選択できますが、少なくとも 1 つを選択する必要があります。
バージョン 1.0：	デフォルトでは、ダイナミックアプリケーションセキュリティのテスト結果が選択されています。

インポートされたデータをフィルタリングするためのVeracode 重大度レベルを追加します。
この値は Veracode からインポートされます。フィールドには複数の値を追加できます。入力されている場合、インポートでは、追加した重大度レベルに一致するデータのみが収集されます。

選択内容を保存して検証します。

オプション	説明
バージョン 3.0：	[認証情報を保存してテスト] をクリックします。注: エラーメッセージが表示されない限り、構成は正常に完了しています。構成中にエラーメッセージが表示される場合は、データを再入力します。
バージョン 1.0：	[保存] をクリックします。 [認証情報をテスト] をクリックして、構成が正常であることを確認します。注: エラーメッセージが表示されない限り、構成は正常に完了しています。構成中にエラーメッセージが表示される場合は、データを再入力します。

オプション

説明

バージョン 3.0：

[認証情報を保存してテスト] をクリックします。

注:

エラーメッセージが表示されない限り、構成は正常に完了しています。構成中にエラーメッセージが表示される場合は、データを再入力します。

バージョン 1.0：

[保存] をクリックします。

[認証情報をテスト] をクリックして、構成が正常であることを確認します。

注:

エラーメッセージが表示されない限り、構成は正常に完了しています。構成中にエラーメッセージが表示される場合は、データを再入力します。

インポート時に AVIT の例外と誤検出を管理する方法を選択します。

ServiceNow 例外管理と誤検出ワークフローがデフォルトでアクティブにされた状態で、インポート時に AVIT を管理するためのオプション。ワークフローは、AVIT の [ソース] ステータスがインスタンスでどのようにマッピングされているかに基づいてトリガーされます。使用例については、「アプリケーション脆弱性対応での保留と誤検出のステータスマッピングの管理」を参照してください。


有効	ServiceNow での例外の管理 [保留] ステータスとしてマークされたインポート済み AVIT をトリアージする場合は、このオプションを有効のままにします。通常はインスタンスで [保留] 状況にマッピングされる [ソース] 状況を持つ AVIT は、代わりに [オープン] にマッピングされます。 AVI レコードから例外を要求します。 ServiceNow での誤検出の管理インポートされた AVIT を [ソース] 状況が誤検出または潜在的な誤検出としてマークされている状態でトリアージする場合は、このオプションを有効のままにします。通常はインスタンスで [ソース] 状況にマッピングされる [クローズ済み] 状況を持つ AVIT は、代わりに [オープン] にマッピングされます。 AVIT レコードから誤検出を要求します。
非アクティブ化済み	スキャナーからインポートされた [ソース] ステータスを保持する場合は、いずれかまたは両方のチェックボックスをオフにします。これらの AVIT は、インポート時に [ターゲット] および [ターゲット理由 (Target reason)] ステータスにマッピングされますが、例外および誤検出ワークフローによってトリアージされません。例外の要求と誤検出アクションは、AVIT には表示されません。

有効

ServiceNow での例外の管理

[保留] ステータスとしてマークされたインポート済み AVIT をトリアージする場合は、このオプションを有効のままにします。

通常はインスタンスで [保留] 状況にマッピングされる [ソース] 状況を持つ AVIT は、代わりに [オープン] にマッピングされます。

AVI レコードから例外を要求します。

ServiceNow での誤検出の管理

インポートされた AVIT を [ソース] 状況が誤検出または潜在的な誤検出としてマークされている状態でトリアージする場合は、このオプションを有効のままにします。

通常はインスタンスで [ソース] 状況にマッピングされる [クローズ済み] 状況を持つ AVIT は、代わりに [オープン] にマッピングされます。

AVIT レコードから誤検出を要求します。

非アクティブ化済み

スキャナーからインポートされた [ソース] ステータスを保持する場合は、いずれかまたは両方のチェックボックスをオフにします。

これらの AVIT は、インポート時に [ターゲット] および [ターゲット理由 (Target reason)] ステータスにマッピングされますが、例外および誤検出ワークフローによってトリアージされません。例外の要求と誤検出アクションは、AVIT には表示されません。

v4.3 以降では、次のパラメーターの設定を選択または検証します。

パラメーター	説明
API リージョン (API region)	リストからリージョンを選択します。
API タイムアウト (API timeout)	デフォルトは 30K です。このフィールドはデフォルト設定のままにしてください。
SBOM 脆弱性を含める (Include SBOM vulnerabilities)	Veracode 統合によって取り込まれた脆弱性をアップロードする Veracode SBOM ファイルに含める場合に選択します。 Veracode SBOM ファイルで Veracode 脆弱性解析されないように、フィールドをオフのままにします。

パラメーター

説明

API リージョン (API region)

リストからリージョンを選択します。

API タイムアウト (API timeout)

デフォルトは 30K です。このフィールドはデフォルト設定のままにしてください。

SBOM 脆弱性を含める (Include SBOM vulnerabilities)

Veracode 統合によって取り込まれた脆弱性をアップロードする Veracode SBOM ファイルに含める場合に選択します。

Veracode SBOM ファイルで Veracode 脆弱性解析されないように、フィールドをオフのままにします。

[認証情報を保存してテスト] を選択します。

次のタスク

環境でドメインセパレーションインポートが必要な場合は、「統合のためのドメインセパレーションインポートの作成」を参照してください。

初期インストールの手順の詳細については、「アプリケーション脆弱性対応の構成」を参照してください。

初期インストール後の変更については、「Veracode 脆弱性統合の変更とアクティビティ」を参照してください。

Veracode 脆弱性統合 の構成

始める前に

手順

次のタスク

Veracode 脆弱性統合の構成