Histórico de versões

Versão 2.12.2 - fevereiro de 2025

• Alterado: agora você pode ver a data e hora precisas em que um item vulnerável de contêiner (CVIT) foi descoberto pela primeira vez, aberto pela última vez, resolvido e encontrado pela última vez, garantindo clareza e contabilização de diferentes fusos horários.
• Corrigido: as ações de IU e validações no formulário CVIT agora se alinham de forma consistente com o estado atual.

Versão 4.5.1 - novembro de 2024

• Fixo:
  • Correção fornecida para incompatibilidade de dados para atualizações de verificação para descobertas da Análise de composição de software (SCA).
  • Correção de manipulação de erros para lidar com erros de nova tentativa e ignorar especificamente para os Projetos de link do Veracode e Integrações do Veracode SBOM. Para oferecer suporte a aplicações excluídas dessas duas integrações, os usuários podem optar por ignorar os erros 403 e 404 e tentar novamente 50x erros.
• Alterado:
  • Você pode selecionar a verificação que tem precedência para as atualizações finais dos dados de descobertas de SCA importados do Veracode. Na página de configuração do Veracode, "Padrão" será o valor definido até que você o altere. Você deve marcar a caixa de seleção "Incluir descobertas de SCA" e escolher uma na lista:
    • Agente - os resultados da verificação do agente fazem as atualizações finais nas descobertas de SCA
    • Carregar - os resultados da verificação de carregamento fazem as atualizações finais nas descobertas de SCA
    • Padrão - a última verificação processada, a verificação do agente ou de carregamento, faz as atualizações finais nas descobertas de SCA
• Observação: se você não marcar a caixa de seleção "Incluir descobertas de SCA" na página de configuração, a verificação selecionada na lista não será usada e a última verificação processada fará as atualizações finais.
• Suporte para adição e exclusão de aplicações do Veracode importadas da Now Platform.
• Defina o valor da propriedade do sistema [sn-vul-veracode.app-mark-unseen-apps-inactive] como "verdadeiro" para evitar erros se a plataforma solicitar aplicações já excluídas pelo Veracode. Se esta propriedade estiver definida como "verdadeira" (ativada), a importação bem-sucedida da integração da lista de aplicações marcará todas as aplicações não vistas na plataforma como "inativas".

Versão 4.4.2 - outubro de 2024

• Correção fornecida para incompatibilidade de dados para atualizações de verificação para descobertas da análise de composição de software (SCA).
• Você pode selecionar a verificação que tem precedência para as atualizações finais dos dados de descobertas de SCA importados do Veracode. Na página de configuração do Veracode, "Padrão" é o valor definido até que você o altere. Você deve marcar a caixa de seleção Incluir descobertas de SCA e escolher uma na lista:
  • Agente - os resultados da verificação do agente fazem as atualizações finais nas descobertas de SCA
  • Carregar - os resultados da verificação de carregamento fazem as atualizações finais nas descobertas de SCA
  • Padrão – a última verificação processada, a verificação do agente ou de carregamento, faz as atualizações finais nas descobertas de SCA
• Observação: se você não marcar a caixa de seleção Incluir descobertas de SCA na página de configuração, a verificação selecionada na lista não será usada e a última verificação processada fará as atualizações finais.
• Ofereça suporte ao Veracode para adicionar e excluir aplicações importadas da Now Platform.
  • Defina o valor da propriedade do sistema [sn-vul-veracode.app-mark-unseen-apps-inactive] como "verdadeiro" para evitar erros se a plataforma solicitar aplicações já excluídas pelo Veracode. Se esta propriedade estiver definida como "verdadeira" (ativada), a importação bem-sucedida da integração da lista de aplicações marcará todas as aplicações não vistas na plataforma como "inativas".
• Correção de manipulação de erros para lidar com erros de nova tentativa e ignorar especificamente para os Projetos de link do Veracode e Integrações do Veracode SBOM. Para oferecer suporte a aplicações excluídas dessas duas integrações, os usuários podem optar por ignorar os erros 403 e 404 e tentar novamente 50x erros.

Versão 4.3.3 - agosto de 2024

• Novo:
  • Melhorias na página de configuração da integração de vulnerabilidade do Veracode:
    • Os parâmetros de região da API e tempo limite da API são compatíveis.
    • Se você instalou o SBOM Response, terá a opção de incluir vulnerabilidades encontradas pelo Veracode nos arquivos SBOM carregados.
  • Vericode' é mapeado para o campo Origem para registros na tabela Lista de materiais [sn_sbom_doc] para os arquivos Veracode SBOM que você carrega.
• Fixo:
  • Modificações no mapeamento de dados para oferecer suporte às seguintes melhorias:
    • Os campos Data de resolução de origem e Último encontrado são preenchidos em Itens vulneráveis de aplicação (AVITs).
    • A capacidade de filtragem dos atributos de informações adicionais de origem persiste nos pares de chave-valor em um campo de cadeia de caracteres.

Versão 4.2.7 - junho de 2024

Novo: o fechamento automático de itens vulneráveis da aplicação é compatível com as integrações do Veracode.

Versão 4.2.4 - maio de 2024

• Novo:
  • Selecione "Obter mais detalhes" nos itens vulneráveis da aplicação Veracode (AVITs) na tabela Item vulnerável da aplicação (sn_vul_app_vulnerable_item) ou nas exibições de lista nos espaços de resposta a vulnerabilidades para atualizar os AVITs do Veracode com as seguintes informações do Veracode:
    • Os detalhes da solicitação de origem HTTP e da resposta de origem para verificações DAST são exibidos na lista relacionada "Solicitação/Resposta"HTTP.
    • As recomendações de solução do Veracode são exibidas na lista relacionada "Descobertas".
    • Nos Espaços de resposta a vulnerabilidades, você pode exibir a solicitação de origem HTTP, a resposta de origem e as recomendações na guia "Detalhes".
    • A coluna Descrição é compatível com a tabela Item vulnerável da aplicação (sn_vul_app_vulnerable_item).
  • Exiba detalhes como tempos totais de processamento, tempos médios para processos de execução de pré e pós-integração e relatórios sobre os registros de execução de integração.

Versão 4.1.11 - março de 2024

Corrigido: as referências de aplicações de negócios são resolvidas usando dados de aplicações descobertos durante execuções de integração da lista de materiais de software Veracode (SBOM) e mapeadas para entidades de lista de materiais conforme o esperado.

Versão 4.1.8 - fevereiro de 2024

• Novo:
  • Você pode reaplicar suas regras de pesquisa de item de configuração (IC) para atualizar ICs existentes (aplicações verificadas e modelos de produto).
  • Crie manualmente tarefas de correção (AVULs) para itens vulneráveis de aplicação (AVITs) a partir de registros de tarefa de correção na guia Configuração de grupo.
• Fixo:
  • As melhorias no registro de item vulnerável da aplicação (AVIT) permitem que você exiba:
    • Informações sobre dependência e esforço de correção.
    • Valores de vulnerabilidade preenchidos conforme o esperado.

Versão 4.1.6 - dezembro de 2023

Corrigido: os registros não podem ser criados na tabela Projetos de link do Veracode manualmente. Execute a integração de projetos Veracode Link para buscar os dados.

Versão 4.1.3 - novembro de 2023

Novo:

• Novo:
  • Um parâmetro de filtro na página de configuração permite listar somente os registros que correspondem aos valores de severidade fornecidos pelo Veracode. Você pode adicionar vários valores de gravidade ao filtro.
  • Tempo de buffer é um parâmetro configurável com a propriedade de sistema sn_vul_veracode.import_starttime_uffer. O buffer, em horas, é subtraído da hora de início (delta_start_time). O scanner obtém resultados na nova hora de início delta derivada.
  • As opçõesGerenciar exceções na ServiceNoweGerenciar falsos positivosna ServiceNowopções na página de configuração do Veracode podem ajudá-lo a fazer a triagem das vulnerabilidades da aplicação importada com fluxos de trabalho da ServiceNow. Essas opções são ativadas por padrão.
    • Gerenciar exceções na ServiceNow faz a triagem de itens vulneráveis de aplicação (IVA) com o fluxo de trabalho de gestão de exceções da ServiceNow. Os IVAs fazem a transição paraAberto e você solicita exceções dos registros AVI. Desative a opção para preservar os estados de origem nos AVIs importados do Veracode.
    • Gerenciar falsos positivos na ServiceNow faz a triagem de falsos positivos com o fluxo de trabalho Falso-positivo da ServiceNow. Os AVIs fazem a transição paraAberto e você solicita falsos positivos de registros AVI. Desative a opção para preservar os estados de origem nos AVIs importados do Veracode.
• Alterado: mais combinações compatíveis para mapeamento de estado permitem que o sistema mapeie importações de scanner para os estados associados em sua instância com base nas configurações de triagem para Gerenciar exceções na ServiceNow e gerenciar falsos positivos na ServiceNow.
• Fixo: os campos dos dados da origem de um ID AVI, junto com a combinação do ID da aplicação, ID do componente e ID do CVE, são preenchidos nos campos conforme o esperado. Os dados são armazenados para projetos SCA vinculados e pontuações de exploração de origem.

Versão 4.0.4 - setembro de 2023

Fixo: a API de relatórios do Veracode oferece suporte a solicitações por seis meses. A integração de item vulnerável importa dados para a data "Importar desde" para uma janela de seis meses, conforme o esperado.

Versão 4.0.3 - agosto de 2023

Novo:

• As seguintes integrações foram adicionadas para importar dados por meio de uma REST API JSON: Lista de aplicações Veracode, Resumo de verificação do Veracode, Item vulnerável da aplicação. As versões dessas integrações que usavam uma API baseada em XML estão obsoletas.
• A Integração de categorias do Veracode importa dados de "Categoria".
• As integrações do Veracode oferecem suporte a importações de vulnerabilidades da Análise de composição de software (SCA).
• As importações de resultados de testes de invasão manuais do Veracode são compatíveis. Esses resultados de testes são descobertas manuais do Veracode que você configura para importação na instância de integração. Eles não estão vinculados às avaliações de teste que você solicita na Resposta a vulnerabilidades da aplicação.
• A integração do Veracode CWE importa informações sobre ameaças e recomendações de correção para vulnerabilidades do Veracode. Seus dados de vulnerabilidade não serão duplicados se você tiver esta integração ativada e a integração abrangente do CWE ativada na Resposta a vulnerabilidades.
• A integração da lista de materiais de software (SBOM) do Veracode importa SBOMs do Veracode no formato CycloneDX JSON. Você deve instalar as aplicações SBOM que estão disponíveis na ServiceNow Store para analisar e exibir dados de SBOM.
• A integração do Veracode DevOps permite que os usuários com a licença do DevOps Change Velocity visualizem resumos de verificação de terceiros das Operações de segurança no DevOps. Esta integração está listada na tabela Integrações de vulnerabilidade [sn_vul_integration_list], mas não há impacto na Resposta a vulnerabilidades da aplicação.
• Você pode configurar os seguintes parâmetros na guia Parâmetros de instância de integração:
  • Importação manual - importe resultados de testes de invasão manuais do Veracode.
  • import_sca — Importa vulnerabilidades de SCA.
  • Status - importe registros nos estados "Aberto" ou "Fechado". Se você deixar este campo em branco, importará registros para ambos os estados.
  • policy_sandbox - insira "policy" ou "sandbox" para importar resultados de seus ambientes de teste.
  • policy_rule_passed - registros de importação que foram aprovados em uma regra de política (verdadeiro).
• Na tabela Resumos de verificação de vulnerabilidades da aplicação [sn_vul_app_vul_scan_summary], use o ícone de configuração (engrenagem) para exibir os dados de novas colunas.

Versão 4.0.3 - agosto de 2023 (Vancouver)

Novo:

• As seguintes integrações foram adicionadas para importar dados por meio de uma REST API JSON: Lista de aplicações Veracode, Resumo de verificação do Veracode, Item vulnerável da aplicação. As versões dessas integrações que usavam uma API baseada em XML estão obsoletas.
• A Integração de categorias do Veracode importa dados de "Categoria".
• As integrações do Veracode oferecem suporte a importações de vulnerabilidades da Análise de composição de software (SCA).
• As importações de resultados de testes de invasão manuais do Veracode são compatíveis. Esses resultados de testes são descobertas manuais do Veracode que você configura para importação na instância de integração. Eles não estão vinculados às avaliações de teste que você solicita na Resposta a vulnerabilidades da aplicação.
• A integração do Veracode CWE importa informações sobre ameaças e recomendações de correção para vulnerabilidades do Veracode. Seus dados de vulnerabilidade não serão duplicados se você tiver esta integração ativada e a integração abrangente do CWE ativada na Resposta a vulnerabilidades.
• A integração da lista de materiais de software (SBOM) do Veracode importa SBOMs do Veracode no formato CycloneDX JSON. Você deve instalar as aplicações SBOM que estão disponíveis na ServiceNow Store para analisar e exibir dados de SBOM.
• A integração do Veracode DevOps permite que os usuários com a licença do DevOps Change Velocity visualizem resumos de verificação de terceiros das Operações de segurança no DevOps. Esta integração está listada na tabela Integrações de vulnerabilidade [sn_vul_integration_list], mas não há impacto na Resposta a vulnerabilidades da aplicação.
• Você pode configurar os seguintes parâmetros na guia Parâmetros de instância de integração:
  • Importação manual - importe resultados de testes de invasão manuais do Veracode.
  • import_sca — Importa vulnerabilidades de SCA.
  • Status - importe registros nos estados "Aberto" ou "Fechado". Se você deixar este campo em branco, importará registros para ambos os estados.
  • policy_sandbox - insira "policy" ou "sandbox" para importar resultados de seus ambientes de teste.
  • policy_rule_passed - registros de importação que foram aprovados em uma regra de política (verdadeiro).
• Na tabela Resumos de verificação de vulnerabilidades da aplicação [sn_vul_app_vul_scan_summary], use o ícone de configuração (engrenagem) para exibir os dados de novas colunas.

Versão 3.5.0 - fevereiro de 2023

Corrigido: os problemas de paginação relacionados à integração JSON da lista de aplicações Veracode foram corrigidos.

Versão 3.4.0 - novembro de 2022

• Novo: introdução de uma nova integração, Veracode Application List Json Integration, que fornece suporte para ingestão delta.
• Alterado: agora você pode trazer vulnerabilidades de aplicação e resumo de verificação somente das aplicações que foram verificadas desde a data da última importação.

Versão 3.3.0 - março de 2022

Novo: adicionada a opção para executar a triagem na ServiceNow. Habilite esta opção para solicitar exceções ou marcar AVIs como falso-positivos. Use a nova lógica de mapeamento de estado para AVIs.

Versão 3.2.0 - fevereiro de 2022

Nenhum novo recurso ou atualização está incluído nesta versão. Esta versão garante que os recursos da última versão sejam compatíveis com a versão da família San Diego.

Versão 3.1.0 - outubro de 2021

Número de versão atualizado para aplicações de dependência.

Versão 3.0.1 - junho de 2021

Novo: ingerir descobertas do SAST para detectar riscos de segurança em suas aplicações e ajudá-lo a corrigir essas vulnerabilidades.

Versão 2.0.0 - fevereiro de 2021

Novo: campos adicionais como Status do SDLC, Resumo da vulnerabilidade, Explicação da vulnerabilidade e Recomendação, importados e mapeados para exibição no formulário de item vulnerável da aplicação.

Versão 1.0.1 - dezembro de 2020

Correções.

Versão 1.0.0 - outubro de 2020

• Novo:
  • Versão inicial da Integração de resposta a vulnerabilidades com Veracode
  • Compatível com DAST (Dynamic Application Security Testing, teste de segurança da aplicação dinâmico)