Notas de versão Resposta a vulnerabilidades de aplicações

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 6 min. de leitura

    • A aplicação ServiceNow® Resposta a vulnerabilidades de aplicações reúne segurança e TI para permitir que você corrija suas vulnerabilidades mais críticas com mais rapidez e eficiência. Resposta a vulnerabilidades de aplicações está incluído como parte da aplicação ServiceNow® Resposta a vulnerabilidades. Resposta a vulnerabilidades de aplicações foi aprimorado e atualizado na versão Yokohama.

    Resposta a vulnerabilidades de aplicações destaques para a versão Yokohama

    • Monitore suas solicitações e descobertas de teste de invasão, bem como o progresso geral da sua equipe no Espaço de teste de invasão.
    • Reavalie a pontuação de risco, as atribuições, a data da meta de correção, as exceções e a tarefa de correção de um conjunto específico de itens vulneráveis de aplicação no Vulnerability Manager Workspace.
    • Integre com scanners de terceiros compatíveis para importar dados de vulnerabilidade.
    • Compare os dados relacionados à vulnerabilidade da aplicação e determine se as vulnerabilidades da aplicação foram encontradas em uma aplicação.
    • Priorize, corrija e gerencie itens vulneráveis de aplicação (AVIT). Cada vulnerabilidade da aplicação representa uma entrada de vulnerabilidade na CWE (Common Weakness Enumeration, Enumeração de pontos fracos comuns) ou em bibliotecas de terceiros.
    • Com a função sn_vul.app_sec_manager, crie tarefas de correção de aplicação manualmente no Vulnerability Manager Workspace.
    • Com a função sn_vul.app_security_Champion, crie tarefas de correção de aplicação manualmente no Espaço de correção de problemas de TI.

    Para obter mais informações, consulte Application Vulnerability Response.

    Importante:
    Resposta a vulnerabilidades de aplicações está disponível no ServiceNow Store. Para obter detalhes, consulte a seção "Informações de ativação" destas notas de versão.

    Informações importantes para atualizar Resposta a vulnerabilidades de aplicações para Yokohama

    Novidades da versão Yokohama

    Criar tarefas de correção de aplicação manualmente no Espaço do gerenciador de vulnerabilidades
    Com a função sn_vul.app_sec_manager, você pode criar tarefas de correção de aplicação manualmente selecionando alguns ou todos os registros nas listas de itens vulneráveis da aplicação no Vulnerability Manager Workspace. Esses registros são agrupados em uma ou mais tarefas de correção de acordo com os critérios de agrupamento selecionados ao criar tarefas de correção da aplicação.
    Criar tarefas de correção de aplicação manualmente no espaço de correção de TI
    Com a função sn_vul.app_security_Champion, você pode criar tarefas de correção de aplicação manualmente selecionando os registros desejados nas listas de itens vulneráveis da aplicação em Espaço de correção de problemas de TI. Esses registros são agrupados em uma ou mais tarefas de correção de acordo com os critérios de agrupamento selecionados ao criar tarefas de correção da aplicação.
    Espaço de teste de invasão

    Monitore suas solicitações e descobertas de teste de invasão, bem como o progresso geral da sua equipe no Espaço de teste de invasão. Priorize testes que precisam de sua atenção, rastreie descobertas e exiba atribuições com as seguintes visualizações de dados no painel:

    • Itens importantes.
    • Solicitações de teste de invasão que são críticas e por estado.
    • Descobertas relatadas.
    • Progresso geral de correção com base na atribuição.
    Aprimoramentos nas solicitações de avaliação de teste de invasão
    Junto com Penetração completa, Focada e Novo teste, os seguintes tipos de avaliação estão incluídos nos formulários de Solicitações de avaliação de teste de invasão no Espaço de teste de invasão:
    • Versão de emergência - Oferece suporte a versões de emergência que são necessárias para atualizações rápidas de software para resolver problemas críticos, como vulnerabilidades de segurança.
    • Programa de recompensa por erros - recompensa hackers éticos para encontrar e relatar vulnerabilidades de segurança.
    • Aprovações de versão - Certifique-se de que todas as verificações necessárias sejam concluídas antes de implantar o novo software.
    • Revisões pontuais - avalie projetos específicos fora dos ciclos regulares de desenvolvimento e versão para avaliar o desempenho e implementar melhorias.
    • Interesse executivo - Relatar o compromisso e o suporte da gestão sênior a projetos críticos na organização.

    Os aprimoramentos nos campos Aprovação da versão e Notas da versão ajudam a garantir a qualidade e a segurança das descobertas do teste de invasão.

    Os seguintes estados foram adicionados ao campo Aprovação da versão:
    • Não aplicável (padrão).
    • Aprovado.
    • Negado.

    Você pode adicionar detalhes para justificar suas aprovações de versão no campo Notas da versão.

    Associar CWEs para criação manual de AVIT a partir de solicitações de avaliação de teste de invasão
    Na guia Descobertas de testes de invasão em Solicitações de avaliação de teste de invasão, você tem a opção de associar Enumerações de vulnerabilidades comuns (CWE) ou CVE (Common Vulnerability and Exposures, vulnerabilidades e exposições comuns) no campo Vulnerabilidade para AVITs criados manualmente.
    Criar solicitações de mudança no Resposta a vulnerabilidades de aplicações
    Usuários com as funções sn_vul.app_sec_manager e sn_vul.app_sec_chamion, bem como usuários com a função sn_vul.app_developer que têm a função ITIL, podem criar solicitações de mudança a partir de tarefas de correção na aplicação Resposta a vulnerabilidades de aplicações. Crie solicitações de mudança para agilizar sua investigação de vulnerabilidades de aplicações (AVIT) que exigem intervenção manual.
    • Crie solicitações de mudança com informações preenchidas previamente para aplicações verificadas que são classificadas como itens de configuração (ICs).
    • O fluxo de trabalho de solicitação de mudança em Resposta a vulnerabilidades de aplicações é semelhante ao fluxo de trabalho compatível em Resposta a vulnerabilidades. Para obter mais informações sobre o fluxo de trabalho de solicitação de mudança Resposta a vulnerabilidades, consulte Change management for Vulnerability Response.
    Nota:
    As solicitações de mudança serão compatíveis com Resposta a vulnerabilidades de aplicações somente se a aplicação descoberta estiver associada a um item de configuração (IC). Você deve definir o modelo de produto como falso na propriedade do sistema Usar modelo de produto [sn_vul.use_product_model] para associar uma aplicação descoberta a um IC.
    Melhorias no Lista de materiais de software Espaço
    • Você pode excluir vários registros de entidade da lista de materiais e seus componentes relacionados com a edição em massa do Lista de materiais de software SBOM Espaço da SBOM.
    • Todos os Itens vulneráveis de aplicação (AVIT) associados a entidades de lista de materiais excluídas fazem a transição automaticamente para Encerrado.
    Exibir detalhes da pontuação de risco de itens vulneráveis na seção Anotações de trabalho
    A partir da v25.0.3 de Resposta a vulnerabilidades de aplicações, a propriedade do sistema sn_sec_cmn.risk_score_changes_add_worknotes está inativa por padrão. Se você habilitá-lo, somente então poderá ver todas as mudanças relacionadas à pontuação de risco de um item vulnerável da aplicação na seção Anotações de trabalho. Além disso, as anotações de trabalho serão atualizadas somente se houver uma mudança na pontuação de risco.

    Informações de ativação

    Instale Resposta a vulnerabilidades de aplicações solicitando-o do ServiceNow Store. Resposta a vulnerabilidades de aplicações está incluído como parte da aplicação Resposta a vulnerabilidades. As aplicações Lista de materiais de software exigem uma assinatura separada. Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.