Veracode Vulnerability Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Die Vulnerability Response Integration mit Veracode Die Anwendung verwendet Daten, die aus importiert wurden Veracode Produkt, mit dem Sie die Auswirkung und Priorität von Fehlern in Ihrem Code bestimmen können.

    Veracode Vulnerability Integration

    Die Veracode Das Produkt erfasst dynamische Anwendungssicherheitstests (Dynamic Application Security Testing, DAST), statische Anwendungssicherheitstests (Static Application Security Testing, SAST) und manuelle Scannerdaten und stellt diese Daten für bereit ServiceNow AI Platform®. Es lässt sich problemlos in integrieren Application Vulnerability Response Funktion von Vulnerability Response Dient zum Zuordnen von Schwachstellen von Drittparteien, um die Daten in Ihrer Instanz zu ergänzen.

    Ab v19.0 von Vulnerability Response, Sie können Schwachstellen der Software Composition Analysis (SCA) und importieren Software Bill of Materials( SBOM) Schwachstellendaten, mit denen Sie Schwachstellen in Ihren Softwareanwendungen identifizieren können. Weitere Informationen finden Sie unter Software Bill of Materials erkunden.

    Eine gemeinsam genutzte API erfasst DAST-, SAST-, SCA-Daten und Ergebnisse manueller Penetrationstests.

    Für jeden Integrationsdatensatz ist ein „Run-as“-Anwender konfiguriert. Der Standardwert für diesen Anwender ist VR.System . Ändern Sie diesen Wert nicht.

    Täglich rufen geplante Aufgaben die Integrationen automatisch in der Reihenfolge auf, in der sie aufgelistet werden. Sie können einzelne geplante Aufgaben auch manuell ausführen. Geplante Aufgaben vereinfachen den Lebenszyklus der Schwachstellenbeseitigung, indem die Instanz mit anderen Schwachstellenverwaltungssystemen synchronisiert wird.

    Rufen Sie weitere Details von ab Veracode

    Wählen Sie ab v4.2 aus Rufen Sie Weitere Details Ab Für angreifbare Anwendungselemente (AVITs) mit Veracode Als Quelle in der Tabelle „Angreifbares Anwendungselement“ [sn_vul_App_vulnerable_item] oder aus den Listenansichten in den Vulnerability Response-Arbeitsbereichen, um Folgendes anzuzeigen Veracode Daten.

    • Details zu HTTP-Quellanforderungen und Quellantworten für DAST-Scans (Dynamische Anwendungssicherheitstests) werden in der zugehörigen Liste „HTTP-Anforderung/-Antwort“ angezeigt.
    • Lösungsempfehlungen von Veracode werden in der zugehörigen Liste „Ergebnisse“ angezeigt.
    • HTTP-Quellanforderung, Quellantwort und Empfehlungen werden auf der Registerkarte Details in Vulnerability Response angezeigt Vulnerability Response Arbeitsbereiche.
    • Die Spalte „Beschreibung“ wird in der Tabelle für angreifbare Elemente der Anwendung [sn_vul_app_vulnerable_item] unterstützt.

    Verfügbare Versionen

    Freigabeversion Release-Hinweise

    Veracode V4.3

    Veracode V4.2

    Veracode V4.1

    		 Application Vulnerability Response release notes

    Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response-Kompatibilitätsmatrix und Änderungen am Release-Schema

    Anwendergruppe und Rollen

    Die Veracode Vulnerability Integration Wird von einem Systemadministrator [admin] installiert und von einem Mitglied der App-Sec-Manager-Gruppe konfiguriert. Weitere Informationen finden Sie unter Application Vulnerability Response Anwendergruppen und Rollen.

    Veracode Vulnerability Integration

    Um anzuzeigen Veracode Schwachstellenintegrationen navigieren Sie zu Alle > Veracode Vulnerability Integration > Integrationenan.

    Die folgenden Integrationen sind im Basissystem enthalten.

    Tabelle : 1. Veracode Vulnerability Integration
    Integration Beschreibung
    Beginnend mit v4.1: Veracode Projektintegration verknüpfen Diese Integration ist standardmäßig aktiviert. Ruft alle zugeordneten Projekte für jede Anwendung aus ab Veracode.
    Anwendungen können mehrere Projekte in haben Veracode Anwendung. Importierte Daten aus dieser Integration werden in den folgenden Datensätzen angezeigt:
    • Datum des letzten SCA-Scans , App-Erstellungsdatum , Und App-Update-Datum Sind in Datensätzen in aufgeführt Erkannte Anwendungen .
    • Bei Zusammenfassungsdatensätzen und angreifbaren Anwendungselementen (AVITs) des Anwendungsschwachstellen-Scans SDLC-Status der Quelle (Softwareentwicklungslebenszyklus) wird angezeigt.
    • Ausnutzbarkeit der Quelle Wird in Datensätzen von angreifbaren Anwendungselementen (AVI) angezeigt.
    Veracode Integration der Anwendungsliste (JSON) Diese Integration ist standardmäßig inaktiv. Ruft Ab Veracode Anwendungsscannerdaten (Schwachstellen, Metadaten) und ergänzt Ihre Anwendungsdaten.

    Ruft Scan-Datensätze von ab VeracodeÜber eine JSON-basierte API.
    Veracode Integration der Anwendungsliste (XML) Diese Integration ist standardmäßig inaktiv. Die XML-basierte Version dieser Integration wurde deaktiviert (veraltet). Ruft Ab Veracode Anwendungsscannerdaten (Schwachstellen, Metadaten) und ergänzt Ihre Anwendungsdaten. Diese Integration ist so festgelegt, dass sie täglich um 00:00:00 ausgeführt wird.
    Hinweis:
    Eine JSON-basierte API von Veracode Wird verwendet, um die Liste der Anwendungen abzurufen. Diese API importiert das „Datum der letzten Richtlinien-Compliance-Prüfung“ für diese Anwendungen, das angibt, wann diese Anwendungen zuletzt von gescannt wurden Veracode.
    Veracode Software Bill of Materials( SBOM) Integration
    Version 4,3 von Veracode Vulnerability Integration Enthält die folgenden Erweiterungen von Veracode SBOM Dateien:
    • Wenn Sie SBOM Response installiert haben, haben Sie die Möglichkeit, von gefundene Schwachstellen einzubeziehen Veracode Für die SBOM-Dateien, die Sie hochladen.
    • Veracode Ist dem zugeordnet Quelle Feld für Datensätze in der Tabelle „Stückliste“ [sn_sbom_doc] für Veracode SBOM-Dateien.

    Diese Integration ist standardmäßig aktiviert. Ab v4.2 Importe Software Bill of Materials Von generierte Dateien im CycloneDX- und SPDX-Format Veracode Und stellt sie zur Analyse in Ihrer Instanz in die Warteschlange. Sie müssen haben Software-Stückliste Anwendungen, die installiert sind, um diese Daten zu importieren und anzuzeigen.
    Veracode Integration der Scan-Zusammenfassung (JSON)

    Diese Integration ist standardmäßig inaktiv. Ruft Scan-Datensätze von ab VeracodeÜber eine JSON-basierte API. Diese Integration ersetzt die XML-basierte API-Integration. Sie ist verkettet und folgt dem Veracode Integration der Anwendungsliste, wenn aktiviert.
    Veracode Scan-Zusammenfassung (XML)

    Diese Integration ist standardmäßig inaktiv. Die XML-basierte Version dieser Integration wurde deaktiviert (veraltet). Ruft Scan-Datensätze von ab Veracode. Diese Integration ist verkettet und folgt dem Veracode Integration der Anwendungsliste, wenn aktiviert.

    Hinweis:
    Folgt automatisch Veracode Integration der Anwendungsliste, wenn sie aktiviert ist. Mit dem Datum „Letzte Richtlinien-Compliance-Prüfung“ für die Anwendungen von Veracode, Diese Integration ruft nur Daten für die Anwendungen ab, die nach „delta_Start_time“ dieser Integration gescannt wurden.
    Veracode JSON-Integration für angreifbares Anwendungselement

    Zeigen Sie ab v4.2 Details an, z. B. Gesamtverarbeitungszeiten, durchschnittliche Zeiten für Prozesse vor und nach der Integrationsausführung und Berichte zu den Datensätzen der Integrationsausführung für die Integrationen angreifbarer Anwendungselemente.

    Diese Integration ist standardmäßig inaktiv. Ruft Scan-Ergebnisse mit mehr Schwachstellendaten ab als die XML-basierte Integration aus Veracode. Sie fügt Avis ein und ergänzt Ihre Schwachstellendaten von Drittparteien.
    Veracode Integration angreifbarer Anwendungselemente (XML)

    Zeigen Sie ab v4.2 Details an, z. B. Gesamtverarbeitungszeiten, durchschnittliche Zeiten für Prozesse vor und nach der Integrationsausführung und Berichte zu den Datensätzen der Integrationsausführung für die Integrationen angreifbarer Anwendungselemente.

    Diese Integration ist standardmäßig inaktiv. Ruft Scan-Ergebnisse von ab Veracode, Fügt angreifbare Anwendungselemente (AVITs) ein und reichert Ihre Schwachstellendaten von Drittparteien an. Standardmäßig, wenn sich der Scannerdatensatz im befindet Geschlossen status, AVITs werden nicht erstellt. Vorhandene AVITs werden noch aktualisiert.

    Diese Integration ist verkettet und folgt dem Veracode Integration der Scan-Zusammenfassung, wenn aktiviert. Die XML-basierte API ist für veraltet Veracode JSON-Integration der Scan-Zusammenfassung.

    Hinweis:
    Folgt automatisch Veracode Integration der Scan-Zusammenfassung. Mit dem Datum „Letzte Richtlinien-Compliance-Prüfung“ für die Anwendungen von Veracode, Diese Integration ruft nur Daten für die Anwendungen ab, die nach „delta_Start_time“ dieser Integration gescannt wurden.
    Veracode Kategorieintegration Diese Integration ist standardmäßig inaktiv. Ruft erweiterte Kategoriedaten von ab Veracode.
    Veracode CWE-Integration

    Diese Integration ist standardmäßig aktiviert. Ruft Ab Veracode– Spezifische CWE-Daten (Common Weakness Enumeration) für Bedrohungsinformationen und Korrekturempfehlungen. Diese Daten werden in Anwendungsschwachstelleneintragsdatensätzen ausgefüllt und aktualisiert.

    Diese CWE-Integration funktioniert unabhängig von der geplanten Aufgabe für die CWE Comprehensive 2000-Integration, die Sie für aktivieren Vulnerability Response Anwendung.

    Ihre Daten werden nicht dupliziert, wenn Sie über verfügen Veracode CWE-Integration und CWE Comprehensive 2000 Integration aktiviert.
    Veracode DevOps-Integration Diese Integration ist standardmäßig inaktiv. Die Integration kann in der Liste Anwendungsschwachstellen-Integrationen in angezeigt werden Application Vulnerability Response. Wenn Sie über eine DevOps Change-Geschwindigkeit-Lizenz verfügen, ist diese Funktion so strukturiert, dass DevOps-Anwender keine SecOps-Lizenz benötigen, um Zusammenfassungsdetails für Schwachstellen-Scans von Drittanbietern anzuzeigen. Es gibt keine Auswirkung oder Änderung an Application Vulnerability Response.

    Informationen zu Status der Integrationsausführung finden Sie unter . Zeigen Sie an Veracode Status der Importausführung der Anwendungsschwachstellenintegration.

    Informationen zum Anzeigen von Daten in Schwachstellen von Drittparteien finden Sie unter Schwachstellenbibliotheken anzeigen.