GitHub 애플리케이션 취약성 통합 구성

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기4분

    • 인스턴스에서 통합을 실행하기 전에 GitHub 제품이 와 올바르게 통합 애플리케이션 취약성 대응되도록 설치 및 구성 단계를 완료해야 합니다. 이 애플리케이션은 별도의 구독으로 사용할 수 있습니다.

    시작하기 전에

    필요한 역할:
    • App-Sec Manager 사용자 그룹
    • OAuth 설정에 필요한 sn_vul.app_sec_manager

    프로시저

    1. 다음으로 이동 모두 > Github 취약성 통합 > 구성.
    2. 인증 유형(Authentication type)에 대해 기본 인증(Basic Authentication ) 또는 OAuth(OAuth )를 선택합니다.
    3. 선택한 유형에 따라 필드를 채웁니다.
      기본 인증
      필드 설명
      API URL 엔터프라이즈 또는 온프레미스에 적합한 GitHub API URL입니다. 기본 URL은 https://api.github.com입니다. 온-프레미스는 엔드포인트 URL입니다 GitHub .
      API 토큰 콘솔에서 생성한 토큰입니다 GitHub .
      API 유형 다음 중 하나를 선택합니다.
      조직
      특정 조직에 대한 데이터를 이름으로 임포트하려면 이 옵션을 선택합니다. 환경은 GitHub 여러 조직을 지원합니다. 각 조직은 여러 리포지토리를 지원할 수 있습니다. 조직을 입력하면 해당 조직의 데이터만 임포트됩니다.
      기업용
      엔터프라이즈 환경은 여러 조직을 지원합니다. 엔터프라이즈(클라우드) 환경의 모든 조직에서 취약성 데이터를 임포트하려면 이 옵션을 선택합니다.
      조직 이름 리포지토리의 GitHub 이름입니다. 입력한 조직의 데이터만 가져옵니다.
      MID 서버 기본 인증을 위한 온 프레미스 인스턴스의 경우 MID 서버가 필요합니다.
      예외 관리 및 긍정 오류를 관리하는 옵션을 선택합니다.

      임포트 시 워크플로우를 사용하여 ServiceNow 애플리케이션 취약 항목(AVI)에 대한 예외 관리 및 긍정 오류를 자동으로 관리하는 옵션을 선택합니다.

      에서 예외 관리 ServiceNow
      지연됨 상태로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화 상태로 둡니다.

      일반적으로 인스턴스의 지연됨 상태로 매핑되는 소스 상태가 있는 AVI는 대신 Open에 매핑됩니다.

      AVI 기록에서 예외를 요청합니다 .

      에서 긍정 오류 관리 ServiceNow
      소스 상태가 긍정 오류 또는 잠재적 긍정 오류로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      일반적으로 인스턴스의 종결됨 상태로 매핑되는 이러한 소스 상태가 있는 AVI는 열기로 매핑됩니다.

      AVI 기록에서 긍정 오류를 요청합니다.
      • 스캐너에서 가져온 소스 상태를 유지하려면 확인란 중 하나 또는 둘 다를 비활성화합니다.
      • 비활성화하면 예외 요청긍정 오류 작업이 AVI에 표시되지 않습니다.
      통합 인스턴스 데이터를 임포트할 인스턴스입니다.

      OAuth

      필드 설명
      API URL 엔터프라이즈 또는 온프레미스에 적합한 GitHub API URL입니다. 기본 URL은 https://api.github.com입니다. 온-프레미스는 엔드포인트 URL입니다 GitHub .
      연결 에 설명된 대로 생성한 연결입니다 앱용 GitHub OAuth 2.0 자격 증명 생성 - JWT GitHub 애플리케이션 취약성 통합.
      API 유형 다음 중 하나를 선택합니다.
      조직
      특정 조직에 대한 데이터를 이름으로 임포트하려면 이 옵션을 선택합니다. 환경은 GitHub 여러 조직을 지원합니다. 각 조직은 여러 리포지토리를 지원할 수 있습니다. 조직을 입력하면 해당 조직의 데이터만 임포트됩니다.
      기업용
      엔터프라이즈 환경은 여러 조직을 지원합니다. 엔터프라이즈(클라우드) 환경의 모든 조직에서 취약성 데이터를 임포트하려면 이 옵션을 선택합니다.
      주:

      GitHub 앱은 엔터프라이즈 수준 API를 지원하지 않습니다.
      조직 이름 리포지토리의 GitHub 조직 이름입니다. 입력한 조직의 리포지토리에서 데이터만 가져옵니다.
      예외 관리 및 긍정 오류를 관리하는 옵션을 선택합니다.

      임포트 시 워크플로우를 사용하여 ServiceNow 애플리케이션 취약 항목(AVI)에 대한 예외 관리 및 긍정 오류를 자동으로 관리하는 옵션을 선택합니다.

      에서 예외 관리 ServiceNow
      지연됨 상태로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화 상태로 둡니다.

      일반적으로 인스턴스의 지연됨 상태로 매핑되는 소스 상태가 있는 AVI는 대신 Open에 매핑됩니다.

      AVI 기록에서 예외를 요청합니다 .

      에서 긍정 오류 관리 ServiceNow
      소스 상태가 긍정 오류 또는 잠재적 긍정 오류로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      일반적으로 인스턴스의 종결됨 상태로 매핑되는 이러한 소스 상태가 있는 AVI는 열기로 매핑됩니다.

      AVI 기록에서 긍정 오류를 요청합니다.
      • 스캐너에서 가져온 소스 상태를 유지하려면 확인란 중 하나 또는 둘 다를 비활성화합니다.
      • 비활성화하면 예외 요청긍정 오류 작업이 AVI에 표시되지 않습니다.
    4. 자격 증명 저장 및 테스트를 선택합니다.
    5. GitHub 다른 통합을 실행하기 전에 리포지토리 통합을 실행합니다.
      다른 GitHub 통합은 리포지토리 통합에서 임포트한 현재 애플리케이션 데이터에 따라 달라집니다. 리포지토리 통합의 데이터는 검색된 애플리케이션 [sn_vul_app_release] 테이블에 저장됩니다. 자세한 내용은 임포트 실행 상태 및 임포트한 GitHub 애플리케이션 취약성 통합 리포지토리 데이터 보기 문서를 참조하십시오.