Integrações de vulnerabilidade de aplicação do GitHub
O Integrações de vulnerabilidade de aplicação do GitHub importa dados de SAST (Static Application Security Testing, SAST) e Análise de composição de software (SCA) para ajudá-lo a exibir alertas de vulnerabilidade nos repositórios do seu ambiente GitHub.
Integrações de vulnerabilidade de aplicação do GitHub
O Integrações de vulnerabilidade de aplicação do GitHub coleta dados do scanner e os disponibiliza para o Now Platform®. Ele se integra facilmente ao recurso [ ServiceNow® Resposta a vulnerabilidades de aplicações de Resposta a vulnerabilidades para mapear vulnerabilidades de terceiros e GitHub alertas em sua instância.
O ambiente GitHub oferece suporte a várias organizações. Essas organizações, tanto no local quanto no Enterprise, podem conter vários departamentos, como Engenharia, Qualidade, Documentação e assim por diante. Cada organização, por sua vez, pode oferecer suporte a vários repositórios. Depois de importar os dados da aplicação com a integração de repositórios GitHub, você pode importar dados de vulnerabilidade e alerta desses repositórios. Os dados importados são processados como uma aplicação na aplicação Resposta a vulnerabilidades de aplicações. Quando os verificadores detectam vulnerabilidades e geram alertas para os repositórios, as vulnerabilidades são criadas em Resposta a vulnerabilidades de aplicações.
Há um usuário executar como configurado para cada registro de integração. O valor padrão para este usuário é VR.System. Não altere este valor.
Versões disponíveis
| Versão de lançamento | Notas de versão |
|---|---|
| Integrações de vulnerabilidade de aplicação do GitHub v1.2, v1.1, 1.0 |
Application Vulnerability Response release notes Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão |
Integrações do GitHub
| Integração | Descrição |
|---|---|
| GitHub Integração de repositórios | A partir da v1.1, importe todos os dados de aplicações para suas contas GitHub no local e na nuvem (Enterprise). A integração importa aplicações dos repositórios que você configurou para uma organização (no local) ou do seu ambiente empresarial (em nuvem). Execute esta integração antes de executar as outras GitHub integrações, pois elas dependem dos dados da aplicação atuais importados da integração de repositórios. |
| GitHub Integração do CodeScan | Recupera alertas de vulnerabilidade de verificação de código de GitHub repositórios para vulnerabilidades de segurança e erros de codificação. Os dados importados são mapeados para os resultados do SAST em sua instância. |
| GitHub Integração do Dependabot | Recupera alertas do Dependabot para dependências com vulnerabilidades conhecidas dos repositórios. Os dados importados são mapeados para os resultados de SCA em sua instância. |
| GitHub Varredura secreta | Recupera segredos do código de suas organizações junto com os resultados de testes de segurança da aplicação. Os dados são mapeados para os resultados de SCA em sua instância. |
| GitHub Local de verificação de segredo | Recupera o local e os números de linha dos segredos verificados no código da sua organização para ajudar os desenvolvedores a corrigir. |
Carregando arquivos SBOM para Now Platform® de seus repositórios GitHub
Determine se SBOM arquivos gerados em seus pipelines de IC/CD (integração contínua e entrega/implantação contínuas) foram enfileirados com sucesso em sua instância Now Platform®.
- Proteja seus ambientes de componentes potencialmente prejudiciais durante os ciclos de desenvolvimento de software com GitHub Ações que você inicia em seu ambiente GitHub.
- Obtenha todas as GitHub Ações necessárias para SBOM upload no GitHub Marketplace.
As aplicações SBOM são necessárias para carregar arquivos SBOM. Para obter mais informações, consulte Exploração do Lista de materiais de software.
Exibição de dados importados
Os dados de aplicações importados da Integração de repositórios GitHub são exibidos na tabela Aplicações descobertas [sn_vul_app_release]. Execute esta integração primeiro.
A integração de repositórios importa marcadores e tópicos que você configurou para um repositório em sua conta GitHub no menu Configurações. Todas as propriedades personalizadas estão localizadas no menu em seu Repositório. Os valores definidos para as propriedades são importados como pares de chave-valor. Para obter mais informações sobre onde exibir essas informações em sua instância, consulte Exibir o Integrações de vulnerabilidade de aplicação do GitHub status de execução de importação e os dados do repositório importados.
Os dados importados (descobertas) da integração GitHub do Dependabot são exibidos nas tabelas a seguir.
- Aplicações descobertas [sn_vul_app_release].
- Resumos de verificação de vulnerabilidades da aplicação [sn_vul_app_vul_scan_summary].
- Itens vulneráveis de aplicação [sn_vul_app_vulnerable_item].
- Pacotes [sn_vul_app_package].
Os dados importados da integração do GitHub CodeScan são exibidos nas tabelas a seguir.
- Aplicações descobertas [sn_vul_app_release].
- Resumos de verificação de vulnerabilidades da aplicação [sn_vul_app_vul_scan_summary].
- Entradas de vulnerabilidade da aplicação [sn_vul_app_vul_entry].
- Itens vulneráveis de aplicação [sn_vul_app_vulnerable_item].