Veracode Vulnerability Integration 구성

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기5분

    • 인스턴스에서 통합을 실행하기 전에 제품이 와 제대로 통합Application Vulnerability Response되도록 Veracode 설치 및 구성 단계를 완료해야 합니다. 이 애플리케이션은 별도의 구독으로 사용할 수 있습니다.

    시작하기 전에

    설치하기 전에 다음 설정 검사 목록을 완료합니다. 이러한 설정 작업은 원활한 설치 및 구성을 위해 필요합니다.
    주:
    이 프로세스는 프로덕션 인스턴스에 다운로드되는 애플리케이션에만 적용됩니다. 하위 프로덕션 또는 개발 인스턴스에 애플리케이션을 다운로드하는 경우에는 권리를 가져올 필요가 없습니다. 다음으로 애플리케이션 활성화 ServiceNow Store이동합니다.
    작업 설정 설명
    Vulnerability Response 애플리케이션이 설치되고 활성화되었는지 확인합니다.

    이 애플리케이션이 활성화되었는지 확인하려면 다음으로 이동하십시오. 구독 관리 > 구독 이용하십시오. 목록에 조직이 구매한 구독이 표시됩니다.

    응용 프로그램이 설치 및 활성화되지 않은 경우 을 참조하십시오 Vulnerability Response 설치.
    애플리케이션과의 Veracode 통합이 Vulnerability Response 설치되고 활성화되었는지 확인합니다.

    이 애플리케이션이 활성화되었는지 확인하려면 다음으로 이동하십시오. 구독 관리 > 구독 이용하십시오. 목록에 조직이 구매한 구독이 표시됩니다.

    응용 프로그램이 설치 및 활성화되지 않은 경우 을 참조하십시오 ServiceNow 와 Vulnerability Response 통합 설치Veracode.
    인스턴스에 필요한 ServiceNow 역할이 있는지 확인합니다. 예상 결과를 구성하고 검증하려면 다음 역할이 필요합니다.
    • 아직 할당되지 않은 경우 시스템 관리자[admin]가 앱을 설치하고 사용자를 App-Sec Manager 사용자 그룹에 할당합니다.
    • App-Sec 관리자는 구성을 감독하고 예상 결과를 확인합니다.

    애플리케이션 취약성 통합의 Veracode 경우 API IDAPI 키를 준비합니다.

    API IDAPI 키를 얻으려면 문의하십시오Veracode. 에 대한 준비 Veracode Vulnerability Integration 문서를 참조하십시오.

    버전 4.0부터 를 사용하는 Veracode Vulnerability Integration경우 침투 평가 테스트 Veracode Vulnerability Integration 는 의 수동 결과입니다 Veracode. 이러한 결과는 에서 구성하는 침투 테스트 평가 요청과 Application Vulnerability Response연결되지 않습니다. 의 침투 테스트 요청에 Application Vulnerability Response대한 자세한 내용은 을 참조하십시오 침투 테스트 구성.
    필요한 역할: App-Sec Manager 사용자 그룹

    프로시저

    1. 다음으로 이동 모두 > Veracode Vulnerability Integration > 구성레이블이 표시됩니다.
    2. API IDAPI 키 필드를 채웁니다.
    3. 테스트 결과를 선택합니다.
      옵션설명
      버전 4.0 :
      1. 임포트에 포함할 DAST 또는 SAST 데이터 유형을 선택합니다.
        주:
        둘 중 하나 또는 둘 다를 선택할 수 있지만 적어도 하나를 선택해야 합니다.
      2. SCA(Software Composition Analysis) 취약성을 임포트하려면 SCA 를 선택하십시오.
      3. 에서 수동 침투 테스트 결과를 Veracode가져오려면 수동 포함을 선택하십시오. 이러한 결과에 대해 AVI가 생성됩니다.
      버전 3.0 임포트에 포함할 DAST 또는 SAST 데이터 유형을 선택합니다.
      주:
      둘 중 하나 또는 둘 다를 선택할 수 있지만 적어도 하나를 선택해야 합니다.
      버전 1.0 :

      기본적으로 동적 애플리케이션 보안 테스트 결과가 선택됩니다.
    4. Veracode 심각도 수준을 추가하여 임포트한 데이터를 필터링합니다.
      이 값은 Veracode에서 가져옵니다. 필드에 여러 값을 추가할 수 있습니다. 채워지면 추가한 심각도 수준과 일치하는 데이터만 가져옵니다.
    5. 선택 사항을 저장하고 확인합니다.
      옵션설명
      버전 3.0 :
      Save and Test Credentials(자격 증명 저장 및 테스트)를 클릭합니다.
      주:
      오류 메시지가 표시되지 않는 한 구성이 성공적으로 완료된 것입니다. 구성 중에 오류 메시지가 표시되면 데이터를 다시 입력합니다.
      버전 1.0 :

      저장을 클릭합니다.

      자격 증명 테스트를 클릭하여 구성이 성공적으로 완료되었는지 확인합니다.

      주:
      오류 메시지가 표시되지 않는 한 구성이 성공적으로 완료된 것입니다. 구성 중에 오류 메시지가 표시되면 데이터를 다시 입력합니다.
    6. 임포트 시 AVI에 대한 예외 및 긍정 오류를 관리하는 방법을 선택합니다.
      임포트 시 예외 관리 및 긍정 오류 워크플로우를 사용하여 ServiceNow AVI를 관리하는 옵션이 기본적으로 활성화됩니다. 워크플로우는 AVI의 소스 상태가 인스턴스에서 매핑되는 방식에 따라 트리거됩니다. 사용 사례의 예는 을 참조하십시오 에서 지연 및 긍정 오류에 대한 상태 매핑 관리 Application Vulnerability Response.
      활성화됨
      에서 예외 관리 ServiceNow
      연기됨 상태로 표시된 가져온 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      일반적으로 인스턴스에서 지연됨 상태로 매핑되는 소스 상태가 있는 AVI는 대신 Open에 매핑됩니다.

      AVI 기록에서 예외를 요청합니다 .

      에서 긍정 오류 관리 ServiceNow
      소스 상태가 긍정 오류 또는 잠재적 긍정 오류로 표시된 가져온 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      일반적으로 인스턴스의 종결 상태로 매핑되는 이러한 소스 상태가 있는 AVI는 오픈에 매핑됩니다.

      AVI 기록에서 긍정 오류를 요청합니다.
      비활성화함

      검사기에서 가져온 소스 상태를 유지하려면 확인란 중 하나 또는 둘 다를 비활성화합니다.

      이러한 AVI는 임포트될 때 대상대상 이유 상태에 매핑되지만 예외 및 긍정 오류 워크플로우에 의해 분류되지 않습니다. 예외 요청긍정 오류 작업은 AVI에 표시되지 않습니다.
    7. 자격 증명 저장 및 테스트를 선택합니다.

    다음에 수행할 작업

    환경에 도메인 분리 가져오기가 필요한 경우 을 참조하십시오 통합을 위해 도메인 분리된 임포트 생성.

    초기 설치 시 자세한 지침은 를 Application Vulnerability Response 구성 참조하십시오.

    초기 설치 후 수정에 대해서는 다음을 Veracode Vulnerability Integration 수정 및 활동참조하십시오.