Veracode Vulnerability Integration

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기7분

    • 애플리케이션과의 Veracode 통합은 취약성 대응 제품에서 Veracode 임포트한 데이터를 사용하여 코드의 결함에 대한 영향과 우선순위를 결정하는 데 도움을 줍니다.

    Veracode Vulnerability Integration

    Veracode 제품은 동적 애플리케이션 보안 테스트(DAST), 정적 애플리케이션 보안 테스트(SAST) 및 수동 스캐너 데이터를 수집하고 해당 데이터를 Now Platform®. 이는 인스턴스의 데이터를 보강하는 외부 공급업체 취약성을 매핑하는 기능과 취약성 대응 쉽게 통합 애플리케이션 취약성 대응 됩니다.

    의 v19.0 취약성 대응부터 소프트웨어 컴포지션 분석(SCA) 취약성 및 소프트웨어 자재 명세서 (SBOM) 취약성 데이터를 임포트하여 소프트웨어 애플리케이션의 약점을 식별할 수 있습니다. 자세한 내용은 소프트웨어 자재 명세서 탐색 문서를 참조하십시오.

    공유 API는 DAST, SAST, SCA 데이터 및 수동 침투 테스트 결과를 수집합니다.

    각 통합 기록에 대해 구성된 실행 사용자가 있습니다. 이 사용자의 기본값은 VR입니다. 체계. 이 값은 변경하지 마십시오.

    예약된 작업은 매일 나열된 순서대로 통합을 자동으로 호출합니다. 개별 예약된 작업을 수동으로 실행할 수도 있습니다. 예약된 작업은 인스턴스를 다른 취약성 관리 시스템과 동기화된 상태로 유지하여 취약성 정정 수명주기를 단순화합니다.

    다음에서 자세한 내용 가져오기 Veracode

    v4.2부터 애플리케이션 취약 항목[sn_vul_app_vulnerable_item] 테이블 또는 취약성 대응 작업 공간의 목록 뷰에서 소스로 있는 Veracode AVIT(애플리케이션 취약 항목)에 대한 자세한 내용 가져오기를 선택하여 다음 Veracode 데이터를 봅니다.

    • 동적 애플리케이션 보안 테스트(DAST) 스캔에 대한 HTTP 소스 요청 및 소스 응답 상세 정보가 HTTP 요청/응답 관련 목록에 표시됩니다.
    • Veracode의 솔루션 권장 사항이 결과 관련 목록에 표시됩니다.
    • HTTP 소스 요청, 소스 응답 및 권장 사항이 취약성 대응 취약성 대응 작업 공간의 상세 정보 탭에 표시됩니다.
    • 설명 열은 애플리케이션 취약 항목 [sn_vul_app_vulnerable_item] 테이블에서 지원됩니다.

    사용 가능한 버전

    릴리스 버전 릴리스 정보

    Veracode v4.3 버전

    Veracode v4.2 버전

    Veracode v4.1 버전

    		 Application Vulnerability Response release notes

    호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경 사항을 참조하십시오.

    사용자 그룹 및 역할

    Veracode Vulnerability Integration 시스템 관리자 [admin]가 설치하고 App-Sec 관리자 그룹의 구성원이 구성합니다. 자세한 내용은 애플리케이션 취약성 대응 사용자 그룹 및 역할 문서를 참조하십시오.

    Veracode Vulnerability Integration

    취약성 통합을 보려면 Veracode 다음으로 이동하십시오. 모두 > Veracode Vulnerability Integration > 통합.

    기본 시스템에는 다음과 같은 통합이 포함되어 있습니다.

    표 1. Veracode Vulnerability Integration
    통합 설명
    v4.1부터: Veracode 프로젝트 통합 연결 이 통합은 기본적으로 활성화됩니다. 에서 Veracode각 애플리케이션에 연결된 모든 프로젝트를 검색합니다.
    응용 프로그램에는 Veracode 여러 프로젝트가 있을 수 있습니다. 이 통합에서 임포트한 데이터는 다음 기록에 표시됩니다.
    • 마지막 SCA 스캔 날짜, 앱 생성 날짜앱 업데이트 날짜검색된 애플리케이션의 기록에 나열됩니다.
    • 애플리케이션 취약성 검사 요약 기록 및 AVIT(애플리케이션 취약한 항목)에 소스 SDLC 상태 (소프트웨어 개발 수명 주기)가 표시됩니다.
    • 소스 악용 가능성은 애플리케이션 취약한 항목(AVI) 기록에 표시됩니다.
    Veracode 애플리케이션 목록 통합(JSON) 이 통합은 기본적으로 비활성 상태입니다. 애플리케이션 스캐너 데이터(취약성, 메타데이터)를 검색 Veracode 하고 애플리케이션 데이터를 보강합니다.

    JSON 기반 API를 Veracode 통해 스캔 기록을 조회합니다.
    Veracode 애플리케이션 목록 통합(XML) 이 통합은 기본적으로 비활성 상태입니다. 이 통합의 XML 기반 버전이 비활성화되었습니다(사용되지 않음). 애플리케이션 스캐너 데이터(취약성, 메타데이터)를 검색 Veracode 하고 애플리케이션 데이터를 보강합니다. 이 통합은 매일 00:00:00에 실행되도록 설정됩니다.
    주:
    JSON 기반 API from Veracode 은 애플리케이션 목록을 검색하는 데 사용됩니다. 이 API는 이러한 애플리케이션에 대한 "마지막 정책 준수 확인 날짜"를 임포트하여 이 애플리케이션이 에서 마지막으로 스캔 Veracode된 시기를 나타냅니다.
    Veracode 소프트웨어 자재 명세서 (SBOM) 통합
    버전 4.3 Veracode Vulnerability Integration 에는 파일과 함께 Veracode SBOM 다음과 같은 향상된 기능이 포함되어 있습니다.
    • SBOM 응답을 설치한 경우 업로드하는 SBOM 파일에서 발견한 Veracode 취약성을 포함할 수 있습니다.
    • Veracode 은(는) SBOM 파일의 BOM[sn_sbom_doc] 테이블에 있는 기록의 소스 필드에 매핑됩니다 Veracode .

    이 통합은 기본적으로 활성화됩니다. v4.2부터 는 소프트웨어 자재 명세서 생성된 Veracode CycloneDX 및 SPDX 형식의 파일을 가져와서 인스턴스에서 구문 분석을 위해 대기열에 넣습니다. 이 데이터를 임포트하여 보려면 애플리케이션이 설치되어 있어야 합니다 소프트웨어 자재 명세서 .
    Veracode 검사 요약 통합(JSON)

    이 통합은 기본적으로 비활성 상태입니다. JSON 기반 API를 Veracode 통해 스캔 기록을 조회합니다. 이 통합은 XML 기반 API 통합을 대체합니다. 이는 체인으로 연결되어 있으며 활성화 시 애플리케이션 목록 통합을 따릅니다 Veracode .
    Veracode 검사 요약(XML)

    이 통합은 기본적으로 비활성 상태입니다. 이 통합의 XML 기반 버전이 비활성화되었습니다(사용되지 않음). 에서 Veracode스캔 기록을 검색합니다. 이 통합은 연결되며 활성화되면 Veracode 애플리케이션 목록 통합을 따릅니다.

    주:
    활성화되면 Veracode 애플리케이션 목록 통합을 자동으로 따릅니다. 에서 Veracode애플리케이션에 대한 "마지막 정책 준수 확인 날짜"를 사용하는 이 통합은 이 통합의 "delta_start_time" 이후에 스캔된 애플리케이션에 대한 데이터만 검색합니다.
    Veracode 애플리케이션 취약한 항목 JSON 통합

    v4.2부터는 총 처리 시간, 사전 및 사후 통합 실행 프로세스의 평균 시간, 애플리케이션 취약한 항목 통합에 대한 통합 실행 기록에 대한 보고서와 같은 상세 정보를 봅니다.

    이 통합은 기본적으로 비활성 상태입니다. 에서 XML 기반 통합 Veracode보다 취약성 데이터가 더 많은 검사 결과를 검색합니다. AVI를 삽입하고 타사 취약성 데이터를 보강합니다.
    Veracode 애플리케이션 취약한 항목 통합(XML)

    v4.2부터는 총 처리 시간, 사전 및 사후 통합 실행 프로세스의 평균 시간, 애플리케이션 취약한 항목 통합에 대한 통합 실행 기록에 대한 보고서와 같은 상세 정보를 봅니다.

    이 통합은 기본적으로 비활성 상태입니다. 에서 검사 결과를 Veracode검색하고, AVIT(애플리케이션 취약한 항목)를 삽입하고, 외부 공급업체 취약성 데이터를 보강합니다. 기본적으로 스캐너 기록이 종결 상태이면 AVIT가 생성되지 않습니다. 기존 AVIT는 계속 업데이트됩니다.

    이 통합은 연결되며 활성화되면 Veracode 검사 요약 통합을 따릅니다. XML 기반 API는 검사 요약 JSON 통합에서 Veracode 사용되지 않습니다.

    주:
    스캔 요약 통합을 자동으로 따릅니다 Veracode . 에서 Veracode애플리케이션에 대한 "마지막 정책 준수 확인 날짜"를 사용하는 이 통합은 이 통합의 "delta_start_time" 이후에 스캔된 애플리케이션에 대한 데이터만 검색합니다.
    Veracode 범주 통합 이 통합은 기본적으로 비활성 상태입니다. 다음에서 Veracode향상된 범주 데이터를 검색합니다.
    Veracode CWE 통합

    이 통합은 기본적으로 활성화됩니다. 위협 정보 및 정정 권장 사항에 대한 특정 CWE(Common Weakness Enumeration) 데이터를 검색합니다 Veracode . 이러한 데이터는 애플리케이션 취약성 항목 레코드에 채워지고 업데이트됩니다.

    이 CWE 통합은 애플리케이션에 대해 활성화하는 CWE Comprehensive 2000 통합의 예약된 작업과는 취약성 대응 독립적으로 작동합니다.

    CWE 통합 및 CWE Comprehensive 2000 통합을 활성화한 경우 Veracode 데이터가 복제되지 않습니다.
    Veracode DevOps 통합 이 통합은 기본적으로 비활성 상태입니다. 통합은 의 애플리케이션 취약성 대응애플리케이션 취약성 통합 목록에서 볼 수 있습니다. DevOps Change Velocity 라이선스가 있는 경우 이 기능은 DevOps 사용자가 타사 취약성 검사에 대한 요약 상세 정보를 보기 위해 SecOps 라이선스가 필요하지 않도록 구성되어 있습니다. 에 애플리케이션 취약성 대응대한 영향이나 변경 사항은 없습니다.

    통합 실행 상태에 대해서는 다음 문서를 참조하십시오 Veracode 애플리케이션 취약성 통합 임포트 실행 상태 보기.

    타사 취약성의 데이터를 보려면 을 참조하십시오 취약성 라이브러리 보기.