Fortify 취약성 통합 구성

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기4분

    • 인스턴스에서 통합을 실행하기 전에 제품이 의 기능과 취약성 대응올바르게 통합 애플리케이션 취약성 대응 되도록 Fortify 설치 및 구성 단계를 완료해야 합니다. 이 애플리케이션은 별도의 구독으로 사용할 수 있습니다.

    시작하기 전에

    필요한 역할: App-Sec 관리자

    설치하기 전에 다음 설정 검사 목록을 완료합니다. 이러한 설정 작업은 원활한 설치 및 구성에 필요합니다.

    주:
    이 프로세스는 프로덕션 인스턴스에 다운로드되는 애플리케이션에만 적용됩니다. 애플리케이션을 비프로덕션 또는 개발 인스턴스에 다운로드하는 경우에는 권리를 얻을 필요가 없습니다. (으)로 이동합니다.
    작업 설정 설명
    취약성 대응 애플리케이션이 설치되고 활성화되었는지 확인합니다.

    이 애플리케이션이 활성화되었는지 확인하려면 다음으로 이동하십시오. 구독 관리 > 구독 이용하십시오. 목록에 조직이 구매한 구독이 표시됩니다.

    애플리케이션이 설치 및 활성화되지 않은 경우 을 참조하십시오 취약성 대응 설치.
    애플리케이션과의 Fortify 통합이 취약성 대응 설치되고 활성화되었는지 확인합니다.

    이 애플리케이션이 활성화되었는지 확인하려면 다음으로 이동하십시오. 구독 관리 > 구독 이용하십시오. 목록에 조직이 구매한 구독이 표시됩니다.

    애플리케이션이 설치 및 활성화되지 않은 경우 을 참조하십시오 ServiceNow 와 함께 취약성 대응 통합 설치Fortify.
    인스턴스에 필요한 ServiceNow 역할이 있는지 확인합니다. 다음 역할은 예상 결과의 설치, 구성 및 검증에 필요합니다.
    • 아직 할당되지 않은 경우 시스템 관리자 [admin]가 앱을 설치하고 사용자를 App-Sec Manager 그룹에 할당합니다.
    • App-Sec 관리자는 구성을 감독하고 예상 결과를 확인합니다.

    Fortify 취약성 통합경우 API IDAPI 키를 준비합니다.

    API IDAPI 키를 가져오는 데 문의하십시오Fortify.

    프로시저

    1. 애플리케이션 취약성 통합을 설치할 Fortify 인스턴스에 로그인합니다.
    2. ServiceNow Store로 이동합니다.
    3. 에서 ServiceNow Store애플리케이션과의 취약성 대응Fortify 통합을 검색합니다.
    4. 애플리케이션 타일을 클릭합니다.
      설치 중인 애플리케이션에 대한 자세한 정보가 표시됩니다.
      주:
      해당하는 경우 다른 요구 사항종속성 섹션을 읽어보십시오.
    5. 앱 요청을 클릭하고 Now Support 로그인 자격 증명을 입력합니다.
    6. 가져오기를 클릭합니다.
    7. 인스턴스 이름인스턴스 이유를 입력하고 인스턴스 확인을 클릭합니다.
    8. 요청을 클릭합니다.
      자세한 설치 지침이 포함된 이메일을 받게 됩니다.
    9. 다음으로 이동 시스템 애플리케이션 > 애플리케이션.
    10. 애플리케이션을 찾아서 선택한 다음 설치를 클릭합니다.
      애플리케이션이 인스턴스에 자동으로 설치됩니다.
    11. 설치가 완료되면 Fortify 취약성 통합 > FoD 구성.
    12. 양식의 필드에 내용을 입력합니다.
      표 1. Fortify 요청 구성 양식
      필드 설명
      API 루트 URL 사용자의 Fortify 인스턴스 URL입니다.
      API 키 API로 전송되는 고유 식별자입니다 Fortify .
      API 비밀 에서 제공하는 클라이언트 비밀입니다 Fortify.
      DAST 포함 DAST 검사의 취약성을 포함하는 옵션입니다. DAST 검사는 전체 애플리케이션의 동작에서 취약성을 식별합니다.
      SAST 포함 SAST 검사의 취약성을 포함하는 옵션입니다. SAST 검사는 코드의 취약성을 식별합니다.
      ServiceNow의 예외 및 긍정 오류 분류(Vulnerability Response v20.0부터) 임포트 시 워크플로우가 있는 ServiceNow AVI에 대한 예외 관리 및 긍정 오류를 자동으로 관리하는 옵션을 선택합니다. 이러한 옵션은 기본적으로 활성화됩니다. 사용 사례의 예는 다음 문서를 참조하십시오 에서 지연 및 긍정 오류에 대한 상태 매핑 관리 애플리케이션 취약성 대응.
      에서 예외 관리 ServiceNow
      지연됨 상태로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화 상태로 둡니다.

      일반적으로 인스턴스의 지연됨 상태로 매핑되는 소스 상태가 있는 AVI는 대신 Open에 매핑됩니다.

      AVI 기록에서 예외를 요청합니다 .

      에서 긍정 오류 관리 ServiceNow
      소스 상태가 긍정 오류 또는 잠재적 긍정 오류로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      일반적으로 인스턴스의 종결됨 상태로 매핑되는 이러한 소스 상태가 있는 AVI는 열기로 매핑됩니다.

      AVI 기록에서 긍정 오류를 요청합니다.
      • 스캐너에서 가져온 소스 상태를 유지하려면 확인란 중 하나 또는 둘 다를 비활성화합니다.
      • 이러한 AVI는 임포트될 때 대상 상태 및 대상 이유 상태에 매핑되지만 예외 및 긍정 오류 워크플로우에 의해 분류되지 않습니다. 예외 요청긍정 오류 작업은 AVI에 표시되지 않습니다.
      ServiceNow에서 환자 분류(Vulnerability Response v20.0 이전) 다음 인스턴스에서 ServiceNow 애플리케이션 취약성 분류 관리:
      • 내에서 ServiceNowAVI를 분류하려면 확인란을 선택합니다. 이 옵션을 선택하면 AVI가 열림 상태로 임포트됩니다. 그런 다음 예외를 요청하거나 AVI를 오탐으로 표시할 수 있습니다.
      • 소스 상태, 즉 스캐너에서 가져온 상태를 유지하려면 확인란이 선택되어 있지 않아야 합니다.
      주:
      긍정 오류로 표시예외 요청 옵션은 .ServiceNow
    13. 자격 증명 저장 및 테스트를 선택합니다.

    다음에 수행할 작업

    사용자 환경에 도메인 분리 가져오기가 필요한 경우 을 참조하십시오 통합을 위해 도메인으로 구분된 임포트 생성.

    초기 설치 시 자세한 지침은 을 참조하십시오 애플리케이션 취약성 대응 구성 .

    초기 설치 후 수정 사항은 을 Fortify 취약성 통합 수정 및 활동참조하십시오.