GitHub 애플리케이션 취약성 통합
이 임포트는 GitHub 애플리케이션 취약성 통합 사용자 환경의 리포지토리 GitHub 에서 취약성 경보를 보는 데 도움이 되는 SAST(정적 애플리케이션 보안 테스트) 및 SCA(소프트웨어 구성 분석) 데이터를 가져옵니다.
GitHub 애플리케이션 취약성 통합
는 GitHub 애플리케이션 취약성 통합 스캐너 데이터를 수집하고 해당 데이터를 Now Platform®. 인스턴스의 외부 공급업체 취약성 및 GitHub 경보를 매핑하는 기능과 취약성 대응 쉽게 통합됩니다ServiceNow® 애플리케이션 취약성 대응.
환경은 GitHub 여러 조직을 지원합니다. 이러한 조직(온 프레미스 및 엔터프라이즈)에는 엔지니어링, 품질, 설명서 등 다양한 부서가 포함될 수 있습니다. 각 조직은 차례로 여러 리포지토리를 지원할 수 있습니다. 리포지토리 통합을 사용하여 GitHub 애플리케이션 데이터를 임포트한 후에는 이러한 리포지토리에서 취약성 및 경보 데이터를 임포트할 수 있습니다. 임포트한 데이터는 애플리케이션에서 애플리케이션처럼 애플리케이션 취약성 대응 처리됩니다. 스캐너가 취약성을 탐지하고 리포지토리에 대한 경보를 생성하면 에 애플리케이션 취약성 대응취약성이 생성됩니다.
각 통합 기록에 대해 구성된 실행 사용자가 있습니다. 이 사용자의 기본값은 VR입니다. 시스템. 이 값은 변경하지 마십시오.
사용 가능한 버전
| 릴리스 버전 | 릴리스 정보 |
|---|---|
| GitHub 애플리케이션 취약성 통합 v1.2, v1.1, 1.0 |
Application Vulnerability Response release notes 호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경을 참조하십시오. |
GitHub 통합
| 통합 | 설명 |
|---|---|
| GitHub조직 통합 | 이 통합은 Github를 구성하는 동안 나열된 특정 엔터프라이즈에 속한 조직을 임포트합니다. 모든 조직은 이 릴리스와 함께 도입된 "sn_vul_discovered_org"(검색된 조직) 테이블에 채워집니다. 이 통합은 엔터프라이즈 수준 API를 지원합니다. |
| GitHub 리포지토리 통합 | v1.1부터 온 프레미스 및 클라우드(엔터프라이즈) 계정에 대한 모든 애플리케이션 데이터를 임포트합니다 GitHub . 통합은 조직(온프레미스) 또는 엔터프라이즈(클라우드) 환경에 대해 구성한 리포지토리에서 애플리케이션을 임포트합니다. 다른 통합은 리포지토리 통합에서 임포트된 현재 애플리케이션 데이터에 종속되므로 실행을 GitHub 전에 이 통합을 실행합니다. |
| GitHub CodeScan 통합 | 리포지토리에서 GitHub 보안 취약성 및 코딩 오류에 대한 Code scanning 취약성 경보를 검색합니다. 임포트한 데이터는 인스턴스의 SAST 결과에 매핑됩니다. |
| GitHub Dependabot 통합 | 리포지토리에서 알려진 취약성이 있는 종속성에 대한 Dependabot 경보를 검색합니다. 임포트한 데이터는 인스턴스의 SCA 결과에 매핑됩니다. |
| GitHub 비밀 스캔 | 애플리케이션 보안 테스트 결과와 함께 조직 코드에서 비밀을 검색합니다. 데이터가 인스턴스의 SCA 결과에 매핑됩니다. |
| GitHub 비밀 스캔 위치 | 조직 코드에서 스캔한 비밀의 위치와 라인 번호를 검색하여 개발자가 정정할 수 있도록 지원합니다. |
리포지토리에서 GitHub 파일 Now Platform® 업로드 SBOM
CI/CD(지속적 통합 및 지속적 제공/배포) 파이프라인에서 생성된 파일이 인스턴스에서 성공적으로 큐에 대기 Now Platform® 했는지 확인합니다SBOM.
- 환경에서 시작하는 GitHub 작업을 사용하여 GitHub 소프트웨어 개발 주기 동안 잠재적으로 유해한 구성 요소로부터 환경을 보호합니다.
- GitHub Marketplace에서 업로드하는 데 SBOM 필요한 GitHub 작업을 가져옵니다.
SBOM 애플리케이션은 파일을 업로드 SBOM 하는 데 필요합니다. 자세한 내용은 소프트웨어 자재 명세서 탐색 문서를 참조하십시오.
임포트한 데이터 보기
리포지토리 통합에서 임포트한 GitHub 애플리케이션 데이터가 검색된 애플리케이션 [sn_vul_app_release] 테이블에 표시됩니다. 먼저 이 통합을 실행합니다.
리포지토리 통합은 설정 메뉴에서 계정의 리포지토리 GitHub 에 대해 구성한 태그와 주제를 가져옵니다. 모든 사용자 지정 속성은 리포지토리 아래의 메뉴에 있습니다. 속성에 대해 설정한 값은 키-값 쌍으로 임포트됩니다. 인스턴스에서 이 정보를 볼 수 있는 위치에 대한 자세한 내용은 다음 문서를 GitHub 애플리케이션 취약성 통합 임포트 실행 상태 및 임포트한 리포지토리 데이터 보기참조하십시오.
Dependabot 통합에서 임포트한 데이터(결과)는 GitHub 다음 테이블에 표시됩니다.
- 검색된 애플리케이션 [sn_vul_app_release].
- 애플리케이션 취약성 검사 요약 [sn_vul_app_vul_scan_summary].
- 애플리케이션 취약한 항목 [sn_vul_app_vulnerable_item]
- 패키지 [sn_vul_app_package].
GitHub CodeScan 통합에서 가져온 데이터가 다음 테이블에 표시됩니다.
- 검색된 애플리케이션 [sn_vul_app_release].
- 애플리케이션 취약성 검사 요약 [sn_vul_app_vul_scan_summary].
- 애플리케이션 취약성 항목 [sn_vul_app_vul_entry]
- 애플리케이션 취약한 항목 [sn_vul_app_vulnerable_item]