버전 이력

버전 2.12.2 - 2025년 2월

• 변경됨: 이제 컨테이너 취약한 항목(CVIT)이 처음 검색되고, 마지막으로 열리고, 해결되고, 마지막으로 발견된 정확한 날짜 및 시간을 볼 수 있으므로 명확성을 보장하고 서로 다른 시간대를 설명할 수 있습니다.
• 수정됨: 이제 CVIT 양식의 UI 작업 및 유효성 검사가 현재 상태와 일관되게 정렬됩니다.

버전 4.5.1 - 2024년 11월

• 부정하게 결정된:
  • 소프트웨어 구성 분석(SCA) 결과에 대한 스캔 업데이트의 데이터 불일치에 대한 수정 사항이 제공되었습니다.
  • 오류 처리, 특히 Veracode Link 프로젝트 및 Veracode SBOM 통합에 대한 오류를 해결, 재시도 및 건너뛰기 위한 수정입니다. 이 두 통합에 대해 삭제된 애플리케이션을 지원하기 위해 사용자는 403 및 404 오류를 건너뛰고 50x 오류를 다시 시도하도록 선택할 수 있습니다.
• 변경:
  • Veracode에서 임포트한 SCA 결과 데이터의 최종 업데이트에 우선하는 검사를 선택할 수 있습니다. Veracode 구성 페이지에서 '기본값'은 변경할 때까지 설정된 값입니다. "SCA 결과 포함" 확인란을 선택하고 목록에서 하나를 선택해야 합니다.
    • 에이전트 - 에이전트 스캔 결과는 SCA 결과에 대한 최종 업데이트를 수행합니다.
    • 업로드 - 업로드 스캔 결과는 SCA 결과에 대한 최종 업데이트를 만듭니다.
    • 기본값 - 처리된 마지막 스캔(에이전트 또는 업로드 스캔)이 SCA 결과에 대한 최종 업데이트를 수행합니다.
• 참고: 구성 페이지에서 "SCA 결과 포함" 확인란을 선택하지 않으면 목록에서 선택한 검사가 사용되지 않고 마지막으로 처리된 검사가 최종 업데이트를 수행합니다.
• Now Platform에서 임포트한 애플리케이션에 대한 Veracode의 추가 및 삭제를 지원합니다.
• 플랫폼이 Veracode에서 이미 삭제한 애플리케이션을 요청하는 경우 오류를 방지하려면 [sn-vul-veracode.app-mark-unseen-apps-inactive] 시스템 속성의 값을 'true'로 설정합니다. 이 속성이 'true'(활성화됨)로 설정된 경우 애플리케이션 목록 통합의 성공적인 임포트 시 플랫폼에 표시되지 않는 애플리케이션이 '비활성'으로 표시됩니다.

버전 4.4.2 - 2024년 10월

• 소프트웨어 구성 분석(SCA) 결과에 대한 스캔 업데이트의 데이터 불일치에 대한 수정 사항이 제공되었습니다.
• Veracode에서 임포트한 SCA 결과 데이터의 최종 업데이트에 우선하는 검사를 선택할 수 있습니다. Veracode 구성 페이지에서는 변경할 때까지 '기본값'이 설정 값입니다. SCA 결과 포함 확인란을 선택하고 목록에서 하나를 선택해야 합니다.
  • 에이전트 – 에이전트 스캔 결과는 SCA 결과에 대한 최종 업데이트를 수행합니다.
  • 업로드 – 업로드 스캔 결과는 SCA 결과에 대한 최종 업데이트를 만듭니다.
  • 기본값 – 처리된 마지막 스캔(에이전트 또는 업로드 스캔)이 SCA 결과에 대한 최종 업데이트를 수행합니다.
• 참고: 구성 페이지에서 SCA 결과 포함 확인란을 선택하지 않으면 목록에서 선택한 검사가 사용되지 않고 마지막으로 처리된 검사가 최종 업데이트를 수행합니다.
• Now Platform에서 임포트한 Veracode의 애플리케이션 추가 및 삭제를 지원합니다.
  • 플랫폼이 Veracode에서 이미 삭제한 애플리케이션을 요청하는 경우 오류를 방지하려면 [sn-vul-veracode.app-mark-unseen-apps-inactive] 시스템 속성의 값을 'true'로 설정합니다. 이 속성이 'true'(활성화됨)로 설정된 경우 애플리케이션 목록 통합의 성공적인 임포트 시 플랫폼에 표시되지 않는 애플리케이션이 '비활성'으로 표시됩니다.
• 오류 처리, 특히 Veracode Link 프로젝트 및 Veracode SBOM 통합에 대한 오류를 해결, 재시도 및 건너뛰기 위한 수정입니다. 이 두 통합에 대해 삭제된 애플리케이션을 지원하기 위해 사용자는 403 및 404 오류를 건너뛰고 50x 오류를 다시 시도하도록 선택할 수 있습니다.

버전 4.3.3 - 2024년 8월

• 신규:
  • Veracode 취약성 통합 구성 페이지의 개선 사항:
    • API 지역 및 API 시간 제한 매개변수가 지원됩니다.
    • SBOM Response를 설치한 경우 업로드하는 SBOM 파일에 대해 Veracode에서 발견한 취약성을 포함할 수 있습니다.
  • Vericode'는 업로드하는 Veracode SBOM 파일에 대한 자재 명세서[sn_sbom_doc] 테이블에 있는 기록의 소스 필드에 매핑됩니다.
• 부정하게 결정된:
  • 다음 개선 사항을 지원하기 위해 데이터 매핑을 수정합니다.
    • 소스 해결된 날짜 및 마지막으로 찾은 시간 필드는 애플리케이션 취약 항목(AVIT)에 채워집니다.
    • 소스 추가 정보의 속성에 대한 필터링 기능은 문자열 필드에 키-값 쌍을 유지합니다.

버전 4.2.7 - 2024년 6월

새로운 기능: 애플리케이션 취약한 항목에 대한 자동 닫기가 Veracode 통합에서 지원됩니다.

버전 4.2.4 - 2024년 5월

• 신규:
  • 애플리케이션 취약 항목(sn_vul_app_vulnerable_item) 테이블 또는 취약성 대응 작업 공간의 목록 뷰에서 Veracode 애플리케이션 취약 항목(AVIT)에 대한 '상세 정보 가져오기'를 선택하여 Veracode의 다음 정보로 Veracode AVIT를 업데이트합니다.
    • DAST 스캔에 대한 HTTP 소스 요청 및 소스 응답 상세 정보가 HTTP "요청/응답" 관련 목록에 표시됩니다.
    • Veracode의 솔루션 권장 사항이 '결과' 관련 목록에 표시됩니다.
    • 취약성 대응 작업 공간의 '상세 정보' 탭에서 HTTP 소스 요청, 소스 응답 및 권장 사항을 볼 수 있습니다.
    • 설명 열은 sn_vul_app_vulnerable_item(애플리케이션 취약한 항목) 테이블에서 지원됩니다.
  • 총 처리 시간, 사전 및 사후 통합 실행 프로세스의 평균 시간, 통합 실행 기록에 대한 보고서와 같은 상세 정보를 봅니다.

버전 4.1.11 - 2024년 3월

수정됨: Veracode 소프트웨어 자재 명세서(SBOM) 통합 실행 중에 검색된 애플리케이션 데이터를 사용하여 비즈니스 애플리케이션 참조가 확인되고 예상대로 BOM 엔터티에 매핑됩니다.

버전 4.1.8 - 2024년 2월

• 신규:
  • CI(구성 항목) 조회 규칙을 다시 적용하여 기존 CI(스캔한 애플리케이션 및 제품 모델)를 업데이트할 수 있습니다.
  • 그룹 구성 탭의 정정 작업 기록에서 애플리케이션 취약한 항목(AVIT)에 대한 정정 작업(AVUL)을 수동으로 생성합니다.
• 부정하게 결정된:
  • 애플리케이션 취약한 항목 기록(AVIT)이 향상되어 다음을 볼 수 있습니다.
    • 의존성 및 정정 작업량 정보입니다.
    • 취약성 값이 예상대로 채워졌습니다.

버전 4.1.6 - 2023년 12월

수정됨: Veracode Link Projects 테이블에서 레코드를 수동으로 만들 수 없습니다. Veracode Link 프로젝트 통합을 실행하여 데이터를 가져옵니다.

버전 4.1.3 - 2023년 11월

신규:

• 신규:
  • 구성 페이지의 필터 매개변수를 사용하면 Veracode에서 제공한 심각도 값과 일치하는 기록만 나열할 수 있습니다. 필터에 여러 심각도 값을 추가할 수 있습니다.
  • 버퍼 시간은 sn_vul_veracode.import_starttime_buffer 시스템 속성으로 구성할 수 있는 매개변수입니다. 버퍼(시간)는 시작 시간(delta_start_time)에서 차감됩니다. 스캐너는 새로 파생된 델타 시작 시간에 결과를 가져옵니다.
  • Veracode 구성 페이지의 ServiceNow에서 예외 관리 및 ServiceNow에서 긍정 오류 관리를 선택하면 ServiceNow 워크플로우를 사용해 임포트한 애플리케이션 취약성을 분류하는 데 도움이 됩니다. 이러한 옵션은 기본적으로 활성화됩니다.
    • ServiceNow에서 예외 관리 ServiceNow 예외 관리 워크플로우로 애플리케이션 취약한 항목(AVI)을 분류합니다. AVI가 Open으로 전환되고 AVI 레코드에서 예외를 요청합니다. Veracode에서 임포트한 AVI에서 소스 상태를 유지하는 옵션을 비활성화합니다.
    • ServiceNow에서 긍정 오류 관리 ServiceNow 긍정 오류 워크플로우로 긍정 오류를 분류합니다. AVI가 Open으로 전환되고 AVI 레코드에서 가양성을 요청합니다. Veracode에서 임포트한 AVI에서 소스 상태를 유지하는 옵션을 비활성화합니다.
• 변경됨: 상태 매핑에 대해 더 많이 지원되는 조합을 사용하면 시스템에서 ServiceNow에서 예외 관리 및 ServiceNow에서 긍정 오류 관리에 대한 분류 설정을 기반으로 스캐너 임포트를 인스턴스의 연관된 상태로 매핑할 수 있습니다.
• 고정됨: 애플리케이션 ID, 구성 요소 ID 및 CVE ID의 조합과 함께 AVI ID에 대한 소스 데이터의 필드가 예상대로 필드에 채워집니다. 연결된 SCA 프로젝트 및 소스 익스플로잇 점수에 대한 데이터가 저장됩니다.

버전 4.0.4 - 2023년 9월

수정됨: Veracode 보고 API는 6개월 동안 요청을 지원합니다. 취약한 항목 통합은 예상대로 6개월 동안의 "다음 이후 임포트" 날짜에 대한 데이터를 임포트합니다.

버전 4.0.3 - 2023년 8월

신규:

• JSON REST API를 통해 데이터를 임포트하기 위해 Veracode 애플리케이션 목록, Veracode 검사 요약, 애플리케이션 취약한 항목 통합이 추가되었습니다. XML 기반 API를 사용한 이러한 통합의 버전은 더 이상 사용되지 않습니다.
• Veracode 범주 통합은 "범주" 데이터를 임포트합니다.
• Veracode 통합은 SCA(소프트웨어 구성 분석) 취약성의 가져오기를 지원합니다.
• Veracode 수동 침투 테스트 결과 임포트가 지원됩니다. 이러한 테스트 결과는 통합 인스턴스에서 임포트하도록 구성하는 Veracode의 수동 결과입니다. Application Vulnerabilty Response에서 요청하는 테스트 평가에는 연결되지 않습니다.
• Veracode CWE 통합은 Veracode 취약성에 대한 위협 정보 및 정정 권장 사항을 임포트합니다. 이 통합이 활성화되어 있고 취약성 대응에서 CWE Comprehensive Integration이 활성화된 경우 취약성 데이터가 복제되지 않습니다.
• Veracode 소프트웨어 자재 명세서(SBOM) 통합은 CycloneDX JSON 형식의 Veracode에서 SBOM을 가져옵니다. SBOM 데이터를 구문 분석하고 보려면 ServiceNow Store에서 사용할 수 있는 SBOM 애플리케이션을 설치해야 합니다.
• Veracode DevOps 통합을 사용하면 DevOps 변경 속도 라이센스를 가진 사용자가 DevOps의 보안 운영에서 외부 공급업체 검사 요약을 볼 수 있습니다. 이 통합은 취약성 통합 [sn_vul_integration_list] 테이블에 나열되지만 애플리케이션 취약성 응답에는 영향을 미치지 않습니다.
• 통합 인스턴스 매개변수 탭에서 다음 매개변수를 구성할 수 있습니다.
  • 수동 임포트 - Veracode에서 수동 침투 테스트 결과를 임포트합니다.
  • import_sca - SCA 취약성을 임포트합니다.
  • 상태 - "오픈" 또는 "종결" 상태의 기록을 임포트합니다. 이 필드를 비워 두면 두 상태 모두에 대한 기록을 임포트합니다.
  • policy_sandbox - 테스트 환경에서 결과를 임포트하려면 "정책" 또는 "샌드박스"를 입력합니다.
  • policy_rule_passed - 정책 규칙을 통과한 기록을 임포트합니다(예).
• 애플리케이션 취약성 검사 요약 [sn_vul_app_vul_scan_summary] 테이블에서 구성 아이콘(톱니바퀴)을 사용하여 새 열의 데이터를 봅니다.

버전 4.0.3 - 2023년 8월(Vancouver)

신규:

• JSON REST API를 통해 데이터를 임포트하기 위해 Veracode 애플리케이션 목록, Veracode 검사 요약, 애플리케이션 취약한 항목 통합이 추가되었습니다. XML 기반 API를 사용한 이러한 통합의 버전은 더 이상 사용되지 않습니다.
• Veracode 범주 통합은 "범주" 데이터를 임포트합니다.
• Veracode 통합은 SCA(소프트웨어 구성 분석) 취약성의 가져오기를 지원합니다.
• Veracode 수동 침투 테스트 결과 임포트가 지원됩니다. 이러한 테스트 결과는 통합 인스턴스에서 임포트하도록 구성하는 Veracode의 수동 결과입니다. Application Vulnerabilty Response에서 요청하는 테스트 평가에는 연결되지 않습니다.
• Veracode CWE 통합은 Veracode 취약성에 대한 위협 정보 및 정정 권장 사항을 임포트합니다. 이 통합이 활성화되어 있고 취약성 대응에서 CWE Comprehensive Integration이 활성화된 경우 취약성 데이터가 복제되지 않습니다.
• Veracode 소프트웨어 자재 명세서(SBOM) 통합은 CycloneDX JSON 형식의 Veracode에서 SBOM을 가져옵니다. SBOM 데이터를 구문 분석하고 보려면 ServiceNow Store에서 사용할 수 있는 SBOM 애플리케이션을 설치해야 합니다.
• Veracode DevOps 통합을 사용하면 DevOps 변경 속도 라이센스를 가진 사용자가 DevOps의 보안 운영에서 외부 공급업체 검사 요약을 볼 수 있습니다. 이 통합은 취약성 통합 [sn_vul_integration_list] 테이블에 나열되지만 애플리케이션 취약성 응답에는 영향을 미치지 않습니다.
• 통합 인스턴스 매개변수 탭에서 다음 매개변수를 구성할 수 있습니다.
  • 수동 임포트 - Veracode에서 수동 침투 테스트 결과를 임포트합니다.
  • import_sca - SCA 취약성을 임포트합니다.
  • 상태 - "오픈" 또는 "종결" 상태의 기록을 임포트합니다. 이 필드를 비워 두면 두 상태 모두에 대한 기록을 임포트합니다.
  • policy_sandbox - 테스트 환경에서 결과를 임포트하려면 "정책" 또는 "샌드박스"를 입력합니다.
  • policy_rule_passed - 정책 규칙을 통과한 기록을 임포트합니다(예).
• 애플리케이션 취약성 검사 요약 [sn_vul_app_vul_scan_summary] 테이블에서 구성 아이콘(톱니바퀴)을 사용하여 새 열의 데이터를 봅니다.

버전 3.5.0 - 2023년 2월

수정됨: Veracode 애플리케이션 목록 JSON 통합과 관련된 페이지 매김 문제가 수정되었습니다.

버전 3.4.0 - 2022년 11월

• 신규: 델타 수집을 지원하는 Veracode 애플리케이션 목록 JSON 통합이라는 새로운 통합이 도입되었습니다.
• 변경됨: 이제 마지막 임포트 날짜에서 검사된 애플리케이션에서만 애플리케이션 취약성 및 검사 요약을 가져올 수 있습니다.

버전 3.3.0 - 2022년 3월

신규: ServiceNow 내에서 분류를 수행하는 옵션이 추가되었습니다. 예외를 요청하거나 AVI를 긍정 오류로 표시하려면 이 옵션을 활성화합니다. AVI에 대한 새 상태 매핑 논리를 사용합니다.

버전 3.2.0 - 2022년 2월

이 버전에는 새로운 기능이나 업데이트가 포함되어 있지 않습니다. 이 버전은 마지막 릴리스의 기능이 San Diego 제품군 릴리스와 호환되도록 합니다.

버전 3.1.0 - 2021년 10월

종속성 애플리케이션의 업데이트된 버전 번호입니다.

버전 3.0.1 - 2021년 6월

새로운 기능: SAST 결과를 수집하여 애플리케이션의 보안 위험을 감지하고 이러한 취약성을 해결하는 데 도움이 됩니다.

버전 2.0.0 - 2021년 2월

새로 만들기: 애플리케이션 취약한 항목 양식에 표시하기 위해 임포트 및 매핑된 SDLC 상태, 취약성 요약, 취약성 설명 및 권장 사항과 같은 추가 필드입니다.

버전 1.0.1 - 2020년 12월

수정.

버전 1.0.0 - 2020년 10월

• 신규:
  • Veracode와 Vulnerability Response 통합의 초기 릴리스
  • 동적 애플리케이션 보안 테스트(DAST) 지원