Veracode Vulnerability Integration
A aplicação Vulnerability Response Integration with Veracode usa dados importados do produto Veracode para ajudar a determinar o impacto e a prioridade das falhas no seu código.
Veracode Vulnerability Integration
O produto Veracode coleta dados de teste de segurança de aplicações dinâmico (DAST), teste de segurança de aplicações estático (SAST) e scanner manual e disponibiliza esses dados para o Now Platform®. Ele se integra facilmente ao recurso [ Application Vulnerability Response de Vulnerability Response para mapear vulnerabilidades de terceiros que enriquecem os dados em sua instância.
A partir da v19.0 de Vulnerability Response, você pode importar vulnerabilidades da Análise de composição de software (SCA) e dados de vulnerabilidade Lista de materiais de software (SBOM) para ajudá-lo a identificar pontos fracos em seus aplicativos de software. Para obter mais informações, consulte Explorar o Lista de materiais de software.
Uma API compartilhada ingere dados de DAST, SAST, SCA e resultados de testes de invasão manuais.
Há um usuário executado configurado para cada registro de integração. O valor padrão para este usuário é VR.System. Não altere este valor.
Todos os dias, os trabalhos programados invocam as integrações automaticamente na ordem em que estão listadas. Você também pode executar trabalhos programados individuais manualmente. Os trabalhos programados simplificam o ciclo de vida de correção de vulnerabilidades, mantendo a instância sincronizada com outros sistemas de gestão de vulnerabilidades.
Versões disponíveis
| Versão de lançamento | Notas de versão |
|---|---|
Veracode 4,1 Veracode 4,0 |
Application Vulnerability Response release notes Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão |
Grupo de usuários e funções
O Veracode Vulnerability Integration é instalado por um administrador do sistema [admin] e configurado por um membro do grupo App-Sec Manager. Para obter mais informações, consulte Application Vulnerability Response grupos de usuários e funções.
Veracode Vulnerability Integration
Para exibir as Veracode integrações de vulnerabilidade, navegue até .
As integrações a seguir estão incluídas no sistema de base.
| Integração | Descrição |
|---|---|
| A partir da v4.1: Veracode Vincular projetos de integração | Esta integração é ativada por padrão. Recupera todos os projetos associados a cada aplicação de Veracode. As aplicações podem ter vários projetos na aplicação Veracode. Os dados importados desta integração são exibidos nos seguintes registros:
|
| A partir da v4.0: Veracode Integração da lista de aplicações (JSON) | Esta integração está inativa por padrão. Recupera Veracode dados do scanner da aplicação (vulnerabilidades, metadados) e enriquece os dados da aplicação. Recupera registros de verificação de Veracode por meio de uma API baseada em JSON. |
| A partir da v4.0: Veracode Application List Integration (XML) | Esta integração está inativa por padrão. A versão baseada em XML desta integração foi desativada (descontinuada). Recupera Veracode dados do scanner da aplicação (vulnerabilidades, metadados) e enriquece os dados da aplicação. Esta integração está definida para ser executada diariamente às 00:00:00. Nota: Uma API baseada em JSON de Veracode é usada para recuperar a lista de aplicações. Esta API importa a "última data de verificação de conformidade da política" dessas aplicações, o que significa quando essas aplicações foram verificadas pela última vez por Veracode. |
| A partir da v4.0: Veracode Lista de materiais de software (SBOM) Integração | Esta integração é ativada por padrão. Importa arquivos Lista de materiais de software no formato CycloneDX gerados por Veracode e os enfileira para análise em sua instância. Você deve ter as aplicações Lista de materiais de software instaladas para importar esses dados e exibi-los. |
| A partir da v4.0: Veracode Integração de resumo de verificação (JSON) | Esta integração está inativa por padrão. Recupera registros de verificação de Veracode por meio de uma API baseada em JSON. Esta integração substitui a integração de API baseada em XML. Ele é encadeado e segue a integração da lista de aplicações Veracode quando ativado. |
| A partir da v4.0: Veracode Resumo da verificação (XML) | Esta integração está inativa por padrão. A versão baseada em XML desta integração foi desativada (descontinuada). Recupera registros de verificação de Veracode. Esta integração é encadeada e segue a integração da lista de aplicações Veracode quando ativada. Nota: Segue automaticamente a integração da lista de aplicações Veracode quando ela é ativada. Com a "Última data de verificação de conformidade da política" das aplicações de Veracode, esta integração recupera dados somente das aplicações que foram verificadas após o "delta_start_time" desta integração. |
| A partir da v4.0: Veracode Integração de JSON de item vulnerável da aplicação | Esta integração está inativa por padrão. Recupera resultados de verificação com mais dados de vulnerabilidade do que a integração baseada em XML de Veracode. Ele insere AVIs e aprimora seus dados de vulnerabilidade de terceiros. |
| A partir da v4.0: Veracode Integração de item vulnerável da aplicação (XML) | Esta integração está inativa por padrão. Recupera resultados de verificação de Veracode, insere AVIs e aprimora seus dados de vulnerabilidade de terceiros. Por padrão, se o registro do scanner estiver no estado Encerrado, os AVIs não serão criados. Os AVIs existentes ainda serão atualizados. Esta integração é encadeada e segue a integração do Resumo de verificação Veracode quando ativada. A API baseada em XML está obsoleta para a integração JSON de resumo de verificação Veracode. Nota: Segue automaticamente a Veracode Integração do resumo de verificação. Com a "Última data de verificação de conformidade da política" das aplicações de Veracode, esta integração recupera dados somente das aplicações que foram verificadas após o "delta_start_time" desta integração. |
| A partir da v4.0: Veracode Integração de categorias | Esta integração está inativa por padrão. Recupera dados de categorias aprimoradas de Veracode. |
| A partir da v4.0: Veracode Integração do CWE | Esta integração é ativada por padrão. Recupera Veracode - dados específicos de Enumeração de Ponto Fraco (CWE) para informações de ameaça e recomendações de correção. Esses dados são preenchidos e atualizados nos registros de entrada de vulnerabilidade da aplicação. Esta integração do CWE opera independentemente do trabalho programado para a Integração abrangente do CWE 2000 que você ativa para a aplicação Vulnerability Response. Seus dados não serão duplicados se você tiver a Integração do CWE Veracode e a Integração do CWE Abrangente 2000 ativada. |
| A partir da v4.0: Veracode Integração de DevOps | Esta integração está inativa por padrão. A integração pode ser visualizada na lista Integrações de vulnerabilidade da aplicação em Application Vulnerability Response. Se você tiver uma licença do DevOps Change Velocity, este recurso será estruturado para que os usuários do DevOps não precisem de uma licença do SecOps para exibir detalhes de resumo das verificações de vulnerabilidade de terceiros. Não há impacto ou mudança em Application Vulnerability Response. |
Para obter os status de execução da integração, consulte Exibir o status de execução de importação da integração de vulnerabilidade da aplicação Veracode.
Para exibir dados em vulnerabilidades de terceiros, consulte Exibir bibliotecas de vulnerabilidades.