Fortify 온디맨드 취약성 통합 구성

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 소요 시간: 4분

    • 인스턴스에서 통합을 실행하기 전에 제품이 의 취약성 대응기능과 제대로 통합 애플리케이션 취약성 대응 되도록 설치 Fortify 및 구성 단계를 완료해야 합니다. 이 애플리케이션은 별도의 구독으로 사용할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_vul_fortify.configure_integration, sn_vul.app_sec_manager, App-Sec Manager

    설치하기 전에 다음 설정 검사 목록을 완료합니다. 원활한 설치 및 구성을 위해 이러한 설정 작업이 필요합니다.

    주:
    이 프로세스는 프로덕션 인스턴스에 다운로드된 애플리케이션에만 적용됩니다. 비프로덕션 또는 개발 인스턴스에 애플리케이션을 다운로드하는 경우에는 권리를 얻을 필요가 없습니다. 계속 진행합니다 애플리케이션 활성화 ServiceNow Store.
    작업 설정 설명
    애플리케이션이 취약성 대응 설치되고 활성화되었는지 확인합니다.

    이 애플리케이션이 활성화되었는지 확인하려면 다음으로 이동하십시오. 구독 관리 > 구독 인스턴스에서. 목록에 조직이 구매한 구독이 표시됩니다.

    애플리케이션이 설치 및 활성화되지 않은 경우 다음 문서를 참조하십시오.
    애플리케이션과의 Fortify 통합이 취약성 대응 설치되고 활성화되었는지 확인합니다.

    이 애플리케이션이 활성화되었는지 확인하려면 다음으로 이동하십시오. 구독 관리 > 구독 인스턴스에서. 목록에 조직이 구매한 구독이 표시됩니다.

    애플리케이션이 설치 및 활성화되지 않은 경우 다음 요청 시 취약성 대응 통합 Fortify 설치 ServiceNow문서를 참조하십시오.
    인스턴스에 필요한 ServiceNow 역할이 있는지 확인합니다. 설치, 구성 및 예상 결과 확인에 필요한 역할은 다음과 같습니다.
    • 아직 할당되지 않은 경우 시스템 관리자 [admin]가 앱을 설치하고 사용자를 App-Sec 관리자 그룹에 할당합니다.
    • App-Sec 관리자는 구성을 감독하고 예상 결과를 확인합니다.

    Fortify 취약성 통합의 경우 API IDAPI 키를 준비하십시오.

    API IDAPI 키를 얻기 위한 문의 Fortify 입니다.

    프로시저

    1. 애플리케이션 취약성 통합을 Fortify 설치할 인스턴스에 로그인합니다.
    2. ServiceNow Store로 이동합니다.
    3. ServiceNow Store에서 애플리케이션과의 Fortify 통합을 취약성 대응 검색합니다.
    4. 애플리케이션 타일을 클릭합니다.
      설치 중인 애플리케이션에 대한 자세한 정보가 표시됩니다.
      주:
      해당하는 경우 다른 요구 사항종속성 섹션을 읽어보십시오.
    5. 앱 요청을 클릭하고 Now Support 로그인 자격 증명을 입력합니다.
    6. 가져오기를 클릭합니다.
    7. 인스턴스 이름인스턴스 이유를 입력하고 인스턴스 확인을 클릭합니다.
    8. 요청을 클릭합니다.
      자세한 설치 지침이 포함된 이메일을 받게 됩니다.
    9. 다음으로 이동 시스템 애플리케이션 > 애플리케이션.
    10. 애플리케이션을 찾아서 선택한 다음 설치를 클릭합니다.
      애플리케이션이 인스턴스에 자동으로 설치됩니다.
    11. 설치가 완료되면 Fortify 취약성 통합 > FoD 구성.
    12. 양식의 필드에 내용을 입력합니다.
      표 1. Fortify 요청 구성 양식
      필드 설명
      API 루트 URL 사용자의 Fortify 인스턴스 URL입니다.
      API 키 API로 전송되는 고유 식별자입니다 Fortify .
      API 비밀 에서 제공하는 Fortify클라이언트 비밀입니다.
      DAST 포함 DAST 스캔의 취약성을 포함하는 옵션입니다. DAST 스캔은 전체 애플리케이션의 동작에서 취약점을 식별합니다.
      SAST 포함 SAST 검사의 취약성을 포함하는 옵션입니다. SAST 스캔은 코드의 취약성을 식별합니다.
      임포트 시 워크플로우를 사용하여 ServiceNow 예외 관리 및 AVI에 대한 긍정 오류를 자동으로 관리하는 옵션을 선택합니다. 이러한 옵션은 기본적으로 활성화되어 있습니다. 사용 사례의 예는 다음 문서를 참조하십시오 애플리케이션 취약성 대응에서 지연 및 긍정 오류에 대한 상태 매핑 관리.
      ServiceNow에서 예외 관리
      지연됨 상태로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      일반적으로 인스턴스에서 지연됨 상태로 매핑되는 소스 상태가 있는 AVI는 대신 오픈에 매핑됩니다.

      AVI 기록에서 예외를 요청 합니다.

      ServiceNow에서 긍정 오류 관리
      소스 상태가 긍정 오류 또는 잠재적 긍정 오류로 표시된 임포트한 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      일반적으로 인스턴스에서 종결 상태로 매핑되는 이러한 소스 상태의 AVI는 오픈에 매핑됩니다.

      AVI 기록에서 긍정 오류를 요청합니다.
      • 스캐너에서 임포트한 소스 상태를 유지하려면 확인란 중 하나 또는 둘 다를 비활성화합니다.
      • 이러한 AVI는 임포트될 때 대상 상태 및 대상 이유 상태에 매핑되지만 예외 및 긍정 오류 워크플로우에 의해 분류되지는 않습니다. 예외 요청긍정 오류 작업은 AVI에 표시되지 않습니다.
      ServiceNow에서 분류(Vulnerability Response v20.0 이전) 인스턴스에서 애플리케이션 취약성 분류를 관리합니다.ServiceNow
      • 내에서 AVI를 분류하려면 확인란을 선택합니다.ServiceNow 이 옵션을 선택하면 AVI가 열림 상태로 임포트됩니다. 그런 다음 예외를 요청하거나 AVI를 긍정 오류로 표시할 수 있습니다.
      • 소스 상태, 즉 스캐너에서 임포트한 상태를 유지하려면 확인란이 선택되어 있지 않아야 합니다.
      주:
      오탐지로 표시예외 요청 옵션은 내에서 분류ServiceNow되는 AVI에만 사용할 수 있습니다.
    13. 자격 증명 저장 및 테스트를 선택합니다.

    다음에 수행할 작업

    도메인 분리된 임포트가 필요한 환경에서는 다음 문서를 참조하십시오 .

    초기 설치 시 자세한 지침을 참조하십시오 애플리케이션 취약성 대응 구성 .

    초기 설치 후 수정하려면 다음을 Fortify 온디맨드 취약성 통합 수정 및 활동참조하십시오.