GitHub 애플리케이션 취약성 통합 구성

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • 인스턴스에서 통합을 실행하기 전에 GitHub 제품이 와 제대로 통합 애플리케이션 취약성 대응되도록 설치 및 구성 단계를 완료해야 합니다. 이 애플리케이션은 별도의 구독으로 사용할 수 있습니다.

    시작하기 전에

    필요한 역할:
    • App-Sec 관리자 사용자 그룹
    • OAuth 설정에 필요한 sn_vul.app_sec_manager

    프로시저

    1. 다음으로 이동 모두 > Github 취약성 통합 > 구성.
    2. 인증 유형으로 기본 인증 또는 OAuth 를 선택합니다.
    3. 선택한 유형에 따라 필드를 채웁니다.
      기본 인증
      표 1.
      필드 설명
      API URL 엔터프라이즈 또는 온프레미스에 적합한 GitHub API URL입니다. 기본 URL은 입니다 https://api.github.com. 온프레미스는 엔드포인트 URL입니다 GitHub .
      API 토큰 콘솔에서 생성한 토큰입니다 GitHub .
      API 유형 다음 중 하나를 선택합니다.
      조직
      특정 조직의 데이터를 이름으로 임포트하려는 경우 이 옵션을 선택합니다. 환경은 GitHub 여러 조직을 지원합니다. 각 조직은 여러 리포지토리를 지원할 수 있습니다. 조직을 입력하면 해당 조직의 데이터만 임포트됩니다.
      기업용
      엔터프라이즈 환경은 여러 조직을 지원합니다. 엔터프라이즈(클라우드) 환경의 모든 조직에서 취약성 데이터를 임포트하려면 이 옵션을 선택합니다.
      조직 이름 리포지토리의 GitHub 이름입니다. 입력한 조직의 데이터만 임포트됩니다.
      MID 서버 기본 인증을 위한 온 프레미스 인스턴스의 경우 MID 서버가 필요합니다.
      예외 관리 및 긍정 오류를 관리하는 옵션을 선택합니다.

      임포트 시 워크플로우를 사용하여 ServiceNow 예외 관리 및 애플리케이션 취약한 항목(AVI)에 대한 긍정 오류를 관리하는 옵션을 선택합니다.

      다음에서 예외 관리 ServiceNow
      지연됨 상태로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      소스 상태가 있는 AVI는 일반적으로 인스턴스에서 지연됨 상태로 매핑됩니다. 대신 오픈에 매핑됩니다.

      AVI 기록 에서 예외를 요청합니다 .

      에서 긍정 오류 관리 ServiceNow
      소스 상태가 긍정 오류 또는 잠재적 긍정 오류로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      일반적으로 인스턴스에서 종결됨 상태로 매핑되는 이러한 소스 상태를 가진 AVI는 Open에 매핑됩니다.

      AVI 기록에서 긍정 오류를 요청합니다.
      • 스캐너에서 임포트한 소스 상태를 유지하려면 확인란 하나 또는 둘 다를 비활성화합니다.
      • 비활성화하면 예외 요청긍정 오류 작업이 AVI에 표시되지 않습니다.
      통합 인스턴스 데이터를 임포트하는 인스턴스입니다.

      OAuth

      표 2.
      필드 설명
      API URL 엔터프라이즈 또는 온프레미스에 적합한 GitHub API URL입니다. 기본 URL은 입니다 https://api.github.com. 온프레미스는 엔드포인트 URL입니다 GitHub .
      연결 생성한 연결은 다음에 설명되어 있습니다 앱에 대한 GitHub OAuth 2.0 자격 증명 생성 - JWT for the GitHub 애플리케이션 취약성 통합.
      API 유형 다음 중 하나를 선택합니다.
      조직
      특정 조직의 데이터를 이름으로 임포트하려는 경우 이 옵션을 선택합니다. 환경은 GitHub 여러 조직을 지원합니다. 각 조직은 여러 리포지토리를 지원할 수 있습니다. 조직을 입력하면 해당 조직의 데이터만 임포트됩니다.
      기업용
      엔터프라이즈 환경은 여러 조직을 지원합니다. 엔터프라이즈(클라우드) 환경의 모든 조직에서 취약성 데이터를 임포트하려면 이 옵션을 선택합니다.
      주:

      GitHub 앱은 엔터프라이즈 수준 API를 지원하지 않습니다.
      조직 이름 리포지토리의 GitHub 조직 이름입니다. 입력한 조직의 리포지토리에 있는 데이터만 가져옵니다.
      예외 관리 및 긍정 오류를 관리하는 옵션을 선택합니다.

      임포트 시 워크플로우를 사용하여 ServiceNow 예외 관리 및 애플리케이션 취약한 항목(AVI)에 대한 긍정 오류를 관리하는 옵션을 선택합니다.

      다음에서 예외 관리 ServiceNow
      지연됨 상태로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      소스 상태가 있는 AVI는 일반적으로 인스턴스에서 지연됨 상태로 매핑됩니다. 대신 오픈에 매핑됩니다.

      AVI 기록 에서 예외를 요청합니다 .

      에서 긍정 오류 관리 ServiceNow
      소스 상태가 긍정 오류 또는 잠재적 긍정 오류로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.

      일반적으로 인스턴스에서 종결됨 상태로 매핑되는 이러한 소스 상태를 가진 AVI는 Open에 매핑됩니다.

      AVI 기록에서 긍정 오류를 요청합니다.
      • 스캐너에서 임포트한 소스 상태를 유지하려면 확인란 하나 또는 둘 다를 비활성화합니다.
      • 비활성화하면 예외 요청긍정 오류 작업이 AVI에 표시되지 않습니다.
    4. 자격 증명 저장 및 테스트를 선택합니다.
    5. GitHub 다른 통합을 실행하기 전에 리포지토리 통합을 실행합니다.
      다른 GitHub 통합은 리포지토리 통합에서 임포트한 현재 애플리케이션 데이터에 따라 다릅니다. 리포지토리 통합의 데이터는 검색된 애플리케이션 [sn_vul_app_release] 테이블에 저장됩니다. 자세한 내용은 GitHub 애플리케이션 취약성 통합 임포트 실행 상태 및 임포트한 리포지토리 데이터 보기 문서를 참조하십시오.