Veracode Vulnerability Integration
Die Anwendung Vulnerability Response Integration with Veracode verwendet Daten, die aus dem Produkt Veracode importiert wurden, um die Auswirkungen und Priorität von Fehlern in Ihrem Code zu bestimmen.
Veracode Vulnerability Integration
Das Produkt Veracode erfasst dynamische Anwendungssicherheitstests (DAST), statische Anwendungssicherheitstests (SAST) und manuelle Scannerdaten und stellt diese Daten Now Platform®zur Verfügung. Sie lässt sich problemlos in die Funktion Application Vulnerability Response von Vulnerability Response integrieren, um Schwachstellen von Drittparteien zuzuordnen, die die Daten in Ihrer Instanz ergänzen.
Ab v19.0 von Vulnerability Responsekönnen Sie SCA-Schwachstellen (Software Composition Analysis) und Schwachstellendaten von Software Bill of Materials (SBOM) importieren, um Schwachstellen in Ihren Softwareanwendungen zu identifizieren. Weitere Informationen finden Sie unter Software Bill of Materials erkunden.
Eine gemeinsam genutzte API erfasst DAST-, SAST-, SCA-Daten und Ergebnisse manueller Penetrationstests.
Für jeden Integrationsdatensatz ist ein „Ausführen als“-Benutzer konfiguriert. Der Standardwert für diesen Benutzer ist VR.System. Ändern Sie diesen Wert nicht.
Regelmäßige Aufgaben rufen die Integrationen jeden Tag automatisch in der Reihenfolge auf, in der sie aufgelistet sind. Sie können einzelne regelmäßige Aufgaben auch manuell ausführen. Geplante Aufgaben vereinfachen den Lebenszyklus der Schwachstellenkorrektur, indem die Instanz mit anderen Schwachstellenverwaltungssystemen synchronisiert wird.
Verfügbare Versionen
| Release-Version | Releasehinweise |
|---|---|
Veracode 4.1 Veracode 4.0 |
Application Vulnerability Response release notes Informationen zur Kompatibilität finden Sie unter KB0856498 Vulnerability Response Compatibility Matrix and Release Schema Changes |
Benutzergruppe und Rollen
Veracode Vulnerability Integration wird von einem Systemadministrator [admin] installiert und von einem Mitglied der App-Sec-Manager-Gruppe konfiguriert. Weitere Informationen finden Sie unter Application Vulnerability Response -Benutzergruppen und -Rollen.
Veracode Vulnerability Integration
Um die Veracode Schwachstellenintegrationen anzuzeigen, navigieren Sie zu .
Die folgenden Integrationen sind im Basissystem enthalten.
| Integration | Beschreibung |
|---|---|
| Ab v4.1: Veracode Integration von Projekten verknüpfen | Diese Integration ist standardmäßig aktiviert. Ruft alle zugeordneten Projekte für jede Anwendung aus Veracodeab. Anwendungen können mehrere Projekte in der Anwendung Veracode haben. Importierte Daten aus dieser Integration werden in den folgenden Datensätzen angezeigt:
|
| Ab v4.0: Veracode Application List Integration (JSON) | Diese Integration ist standardmäßig inaktiv. Ruft Veracode Anwendungsscanner-Daten (Schwachstellen, Metadaten) ab und erweitert Ihre Anwendungsdaten. Ruft Scan-Datensätze von Veracode über eine JSON-basierte API ab. |
| Ab v4.0: Veracode Application List Integration (XML) | Diese Integration ist standardmäßig inaktiv. Die XML-basierte Version dieser Integration wurde deaktiviert (veraltet). Ruft Veracode Anwendungsscanner-Daten (Schwachstellen, Metadaten) ab und erweitert Ihre Anwendungsdaten. Diese Integration wird täglich um 00:00:00 Uhr ausgeführt. Hinweis: Eine JSON-basierte API von Veracode wird verwendet, um die Liste der Anwendungen abzurufen. Diese API importiert das Datum der letzten Complianceprüfung der Richtlinie für diese Anwendungen und gibt an, wann diese Anwendungen zuletzt von Veracodegescannt wurden. |
| Ab v4.0: Veracode Software Bill of Materials (SBOM) Integration | Diese Integration ist standardmäßig aktiviert. Importiert Software Bill of Materials -Dateien im von Veracode generierten CycleneDX-Format und stellt sie zur Analyse in Ihrer Instanz in die Warteschlange. Sie müssen die Anwendungen Software-Stückliste installiert haben, um diese Daten zu importieren und anzuzeigen. |
| Ab v4.0: Veracode Scan Summary Integration (JSON) | Diese Integration ist standardmäßig inaktiv. Ruft Scan-Datensätze von Veracode über eine JSON-basierte API ab. Diese Integration ersetzt die XML-basierte API-Integration. Sie ist verkettet und folgt der Anwendungslistenintegration Veracode, wenn sie aktiviert wird. |
| Ab v4.0: Veracode Scan-Zusammenfassung (XML) | Diese Integration ist standardmäßig inaktiv. Die XML-basierte Version dieser Integration wurde deaktiviert (veraltet). Ruft Scan-Datensätze von Veracodeab. Diese Integration ist verkettet und folgt der Anwendungslistenintegration Veracode, wenn sie aktiviert wird. Hinweis: Verfolgt automatisch die Integration der Anwendungsliste Veracode, wenn sie aktiviert wird. Mit „Letzte Complianceprüfung der Richtlinie“ für die Anwendungen von Veracoderuft diese Integration nur Daten für die Anwendungen ab, die nach „delta_start_time“ dieser Integration gescannt wurden. |
| Ab v4.0: Veracode JSON-Integration von angreifbaren Anwendungselementen | Diese Integration ist standardmäßig inaktiv. Ruft Scan-Ergebnisse mit mehr Schwachstellendaten als die XML-basierte Integration von Veracodeab. Es fügt AVIs ein und erweitert Ihre Schwachstellendaten von Drittparteien. |
| Ab v4.0: Veracode Integration von angreifbaren Elementen in Anwendungen (XML) | Diese Integration ist standardmäßig inaktiv. Ruft Scan-Ergebnisse von Veracodeab, fügt AVIs ein und erweitert Ihre Schwachstellendaten von Drittparteien. Wenn sich der Scanner-Datensatz im Status Geschlossen befindet, werden standardmäßig keine AVIs erstellt. Vorhandene AVIs werden weiterhin aktualisiert. Diese Integration ist verkettet und folgt der Integration der Veracode Scan-Zusammenfassung, wenn sie aktiviert wird. Die XML-basierte API ist für die JSON-Integration der Veracode Scan-Zusammenfassung veraltet. Hinweis: Verfolgt automatisch die Integration der Veracode Scan-Zusammenfassung. Mit „Letzte Complianceprüfung der Richtlinie“ für die Anwendungen von Veracoderuft diese Integration nur Daten für die Anwendungen ab, die nach „delta_start_time“ dieser Integration gescannt wurden. |
| Ab v4.0: Integration von Veracode Kategorien | Diese Integration ist standardmäßig inaktiv. Ruft erweiterte Kategoriedaten aus Veracodeab. |
| Ab v4.0: Veracode CWE-Integration | Diese Integration ist standardmäßig aktiviert. Ruft Veracode spezifische CWE-Daten (Common Weakness Enumeration) für Bedrohungsinformationen und Korrekturempfehlungen ab. Diese Daten werden in Datensätzen zu Anwendungsschwachstelleneinträgen ausgefüllt und aktualisiert. Diese CWE-Integration funktioniert unabhängig von der geplanten Aufgabe für die CWE Comprehensive 2000-Integration, die Sie für die Anwendung Vulnerability Response aktivieren. Ihre Daten werden nicht dupliziert, wenn Sie die Veracode CWE-Integration und die CWE Comprehensive 2000-Integration aktiviert haben. |
| Ab v4.0: Veracode DevOps-Integration | Diese Integration ist standardmäßig inaktiv. Die Integration kann in der Liste „Integrationen von Anwendungsschwachstellen“ in Application Vulnerability Responseangezeigt werden. Wenn Sie eine DevOps Change Velocity-Lizenz haben, ist diese Funktion so strukturiert, dass DevOps-Benutzer keine SecOps-Lizenz benötigen, um Zusammenfassungsdetails für Schwachstellenprüfungen von Drittanbietern anzuzeigen. Es gibt keine Auswirkungen oder Änderungen an Application Vulnerability Response. |
Informationen zu Integrationsausführungsstatus finden Sie unter, Zeigen Sie den Importausführungsstatus von Veracode Application Vulnerability Integration (Integration von Anwendungsschwachstellen) an.
Informationen zum Anzeigen von Daten in Schwachstellen von Drittparteien finden Sie unter Schwachstellenbibliotheken anzeigen.