Configure o Veracode Vulnerability Integration

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 5 min. de leitura

    • Antes de executar a integração em sua instância, as etapas de instalação e configuração devem ser concluídas para que o produto Veracode se integre corretamente com Resposta a vulnerabilidades de aplicações. Esta aplicação está disponível como uma assinatura separada.

    Antes de Iniciar

    Conclua a check-list de configuração a seguir antes da instalação. Essas tarefas de configuração são necessárias para uma instalação e configuração tranquilas.
    Nota:
    Este processo se aplica somente a aplicações baixadas para instâncias de produção. Se você estiver baixando aplicações para instâncias de não produção ou de desenvolvimento, não será necessário obter direitos. Prossiga para .
    Tarefas de configuração Descrição
    Verifique se a aplicação Resposta a vulnerabilidades está instalada e ativada.

    Para verificar se esta aplicação está ativada, navegue até Gestão de assinaturas > Assinaturas em sua instância. A lista exibe as assinaturas que sua organização comprou.

    Se a aplicação não estiver instalada e ativada, consulte Como instalar Resposta a vulnerabilidades.
    Verifique se a aplicação Resposta a vulnerabilidades Integration with Veracode está instalada e ativada.

    Para verificar se esta aplicação está ativada, navegue até Gestão de assinaturas > Assinaturas em sua instância. A lista exibe as assinaturas que sua organização comprou.

    Se a aplicação não estiver instalada e ativada, consulte Instalar a ServiceNow Integração de resposta a vulnerabilidades com Veracode.
    Verifique se você tem as funções ServiceNow necessárias para sua instância. As funções a seguir são necessárias para configuração e verificação dos resultados esperados:
    • Se ainda não estiver atribuído, o administrador do sistema [admin] instalará o app e atribuirá usuários ao grupo de usuários App-Sec Manager.
    • O gerente do App-Sec supervisiona a configuração e verifica os resultados esperados.

    Para a integração de vulnerabilidade da aplicação Veracode, tenha seu ID de API e chave de API prontos.

    Entre em contato com Veracode para obter oID e a chave de API. Consulte Preparando para o Veracode Vulnerability Integration.

    A partir da versão 4.0, se você estiver usando o Veracode Vulnerability Integration, os testes de avaliação de invasão no Veracode Vulnerability Integration serão descobertas manuais do Veracode. Essas descobertas não estão vinculadas a nenhuma solicitação de avaliação de teste de invasão configurada em Resposta a vulnerabilidades de aplicações. Para obter mais informações sobre solicitações de teste de invasão em Resposta a vulnerabilidades de aplicações, consulte Configurar teste de invasão.
    Função necessária: grupo de usuários do App-Sec Manager

    Procedimento

    1. Navegar até Todos > Integração de vulnerabilidade da Veracode > Configuração.
    2. Preencha os campos ID de API e Chave de API.
    3. Escolha seus resultados de testes.
      OpçãoDescrição
      Versão 4.0:
      1. Selecione os tipos de dados DAST ou SAST a serem incluídos na importação.
        Nota:
        Você pode escolher um ou outro, ou ambos, mas deve selecionar pelo menos um.
      2. Selecione SCA para importar vulnerabilidades da Análise de composição de software (SCA).
      3. Selecione Incluir manual para importar os resultados do teste de invasão manual de Veracode. AVITs são criados para esses resultados.
      Versão 3.0 Selecione os tipos de dados DAST ou SAST a serem incluídos na importação.
      Nota:
      Você pode escolher um ou outro, ou ambos, mas deve selecionar pelo menos um.
      Versão 1.0:

      Os resultados de testes dinâmicos de segurança da aplicação são selecionados, por padrão.
    4. Adicione o nível de Veracode gravidade para filtrar os dados importados.
      Este valor é importado de Veracode. Você pode adicionar vários valores ao campo. Se preenchida, a importação coletará somente dados que correspondam aos níveis de gravidade que você adicionou.
    5. Salve e valide suas escolhas.
      OpçãoDescrição
      Versão 3.0:
      Clique em Salvar e testar credenciais.
      Nota:
      A configuração é concluída com sucesso, a menos que uma mensagem de erro seja exibida. Se uma mensagem de erro for exibida durante a configuração, insira novamente os dados.
      Versão 1.0:

      Clique em Salvar.

      Verifique a configuração bem-sucedida clicando em Testar credenciais.

      Nota:
      A configuração é concluída com sucesso, a menos que uma mensagem de erro seja exibida. Se uma mensagem de erro for exibida durante a configuração, insira novamente os dados.
    6. Selecione como você deseja gerenciar exceções e falso-positivos para AVITs na importação.
      As opções para gerenciar AVITs na importação com ServiceNow Gestão de exceções e fluxos de trabalho falso-positivos são ativadas por padrão. Os fluxos de trabalho são acionados com base em como os estados de origem nos AVITs são mapeados em sua instância. Para obter um exemplo de caso de uso, consulte Como gerenciar o mapeamento de estado para adiamentos e falso-positivos no Resposta a vulnerabilidades de aplicações.
      Ativado
      Gerenciar exceções no ServiceNow
      Deixe esta opção ativada se quiser fazer a triagem de AVITs importados marcados para o estado Adiado.

      AVITs com estados de origem que normalmente são mapeados para um estado adiado em sua instância são mapeados para aberto.

      Você solicita uma exceção do registro AVI.

      Gerenciar falsos positivos no ServiceNow
      Deixe esta opção ativada se quiser fazer a triagem de AVITs importados com estados de origem marcados como Falso-positivo ou Possível falso-positivo.

      AVITs com esses estados de origem que normalmente são mapeados para um estado Closed em sua instância são mapeados para Open.

      Você solicita um falso-positivo do registro AVIT.
      Desativado

      Desative uma ou ambas as caixas de seleção se quiser preservar os estados de origem importados do scanner.

      Esses AVITs são mapeados para os estados Meta e Motivo da meta conforme são importados, mas não são triados pelos fluxos de trabalho de exceção e falso-positivo. As ações Solicitar exceção e Falso-positivo não estão visíveis nos AVITs.
    7. A partir da versão 4.3, escolha ou verifique as configurações dos parâmetros a seguir.
      ParâmetroDescrição
      Região da API Selecione uma região na lista.
      Tempo limite da API O padrão é 30K. Você pode preferir deixar este campo em sua configuração padrão.
      Incluir vulnerabilidades de SBOM

      Selecione para incluir todas as vulnerabilidades ingeridas pelas integrações Veracode SBOMVeracode nos arquivos [] carregados.

      Deixe o campo em branco para que Veracode vulnerabilidades não sejam analisadas em Veracode SBOM arquivos.
    8. Selecione Salvar e testar credenciais.

    O que Fazer Depois

    Se o seu ambiente exigir importações separadas por domínio, consulte Criar importações separadas por domínio para uma integração.

    Na instalação inicial, consulte Como configurar o Resposta a vulnerabilidades de aplicações para obter mais instruções.

    Após a instalação inicial, para modificações, consulte Veracode Vulnerability Integration modificações e atividades.