Integrações de vulnerabilidade de aplicação do GitHub

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • O Integrações de vulnerabilidade de aplicação do GitHub importa dados de teste de segurança da aplicação estático (SAST) e análise de composição de software (SCA) para ajudá-lo a exibir alertas de vulnerabilidade nos repositórios em seu ambiente GitHub.

    GitHub Vulnerability Integration

    O Integrações de vulnerabilidade de aplicação do GitHub coleta dados do scanner e disponibiliza esses dados para o Now Platform®. Ele se integra facilmente ao recurso [ ServiceNow® Application Vulnerability Response de Vulnerability Response para mapear vulnerabilidades de terceiros e alertas do GitHub em sua instância.

    O ambiente GitHub oferece suporte a várias organizações. Essas organizações, tanto no local quanto no Enterprise, podem conter vários departamentos, como Engenharia, Qualidade, Documentação e assim por diante. Cada organização, por sua vez, pode oferecer suporte a vários repositórios. Esta integração importa dados de alerta de vulnerabilidade desses repositórios. Os dados importados são processados como uma aplicação na aplicação Application Vulnerability Response. Quando os scanners detectam vulnerabilidades e geram alertas para os repositórios, as vulnerabilidades são criadas no Application Vulnerability Response.

    Há um usuário executado configurado para cada registro de integração. O valor padrão para este usuário é VR.System. Não altere este valor.

    O escopo necessário para extrair dados é repo.

    Versões disponíveis

    Versão de lançamento Notas de versão
    1.0 Application Vulnerability Response release notes

    Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão

    Integrações do GitHub

    Integração Descrição
    GitHub CodeScan Integration Recupera alertas de vulnerabilidade de verificação de código dos repositórios do GitHub para vulnerabilidades de segurança e erros de codificação. Os dados importados são mapeados para resultados SAST em sua instância.
    GitHub Dependentebot Integration Recupera alertas de Dependentebot para dependências com vulnerabilidades conhecidas de repositórios. Os dados importados são mapeados para resultados de SCA em sua instância.

    Exibição de dados importados

    Os dados importados (descobertas) do GitHub Dependendabot Integration são exibidos nas tabelas a seguir.

    • Aplicações descobertas [sn_vul_app_release].
    • Resumos de verificação de vulnerabilidade da aplicação [sn_vul_app_vul_scan_summary].
    • Itens vulneráveis da aplicação [sn_vul_app_vulnerable_item].
    • Pacotes [sn_vul_app_package].

    Os dados importados da integração do GitHub CodeScan são exibidos nas tabelas a seguir.

    • Aplicações descobertas [sn_vul_app_release].
    • Resumos de verificação de vulnerabilidade da aplicação [sn_vul_app_vul_scan_summary].
    • Entradas de vulnerabilidade da aplicação [sn_vul_app_vul_entry].
    • Itens vulneráveis da aplicação [sn_vul_app_vulnerable_item].