Configure o Integrações de vulnerabilidade de aplicação do GitHub

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Antes de executar a integração em sua instância, as etapas de instalação e configuração devem ser concluídas para que o produto GitHub se integre corretamente com Resposta a vulnerabilidades de aplicações. Esta aplicação está disponível como uma assinatura separada.

    Antes de Iniciar

    Funções necessárias:
    • Grupo de usuários do App-Sec Manager
    • sn_vul.app_sec_manager necessário para a configuração do OAuth

    Procedimento

    1. Navegar até Tudo > Integração de vulnerabilidade do GitHub > Configuração.
    2. Escolha Autenticação básica ou OAuth para o tipo de autenticação.
    3. Preencha os campos com base no tipo escolhido.
      Autenticação básica
      Tabela 1.
      Campo Descrição
      URL da API A URL da API GitHub apropriada para Enterprise ou no local. O URL padrão é https://api.github.com. No local é o URL do endpoint GitHub.
      Token de API Token que você gerou a partir do console GitHub.
      Tipo de API Selecione um:
      Organização
      Escolha esta opção se quiser importar dados para uma organização específica por nome. O ambiente GitHub oferece suporte a várias organizações. Cada organização pode oferecer suporte a vários repositórios. Se você inserir uma organização, somente os dados dessa organização serão importados.
      Empresa
      O ambiente empresarial oferece suporte a várias organizações. Escolha esta opção se quiser importar dados de vulnerabilidade de todas as organizações em seu ambiente empresarial (nuvem).
      Nome da organização Nome do seu GitHub Repositório. Somente os dados da organização que você inserir são importados.
      MID Server Para instâncias no local para autenticação básica, um MID Server é necessário.
      Selecione opções para gerenciar a gestão de exceções e falso-positivos.

      Selecione opções para gerenciar fluxos de trabalho de gestão de exceções e falso-positivos para itens vulneráveis (IVAs) de aplicações com ServiceNow automaticamente após a importação.

      Gerenciar exceções no ServiceNow
      Deixe esta opção ativada se quiser fazer a triagem de AVIs importados marcados para o estado Adiado.

      AVIs com estados de origem que normalmente são mapeados para um estado Adiado em sua instância são mapeados para Aberto.

      Você solicita uma exceção do registro AVI.

      Gerenciar falsos positivos no ServiceNow
      Deixe esta opção ativada se quiser fazer a triagem de AVIs importados com estados de origem marcados como Falso-positivo ou Possível falso-positivo.

      AVIs com esses estados de origem que normalmente são mapeados para um estado Closed em sua instância são mapeados para Open.

      Você solicita um falso-positivo do registro AVI.
      • Desative uma ou ambas as caixas de seleção se quiser preservar os estados de origem importados do scanner.
      • Se desativado, as ações Solicitar exceção e Falso-positivo não ficarão visíveis nos AVIs.
      Instância de Integração Instância para a qual você está importando dados.

      OAuth

      Tabela 2.
      Campo Descrição
      URL da API A URL da API GitHub apropriada para Enterprise ou no local. O URL padrão é https://api.github.com. No local é o URL do endpoint GitHub.
      Conexão A conexão que você criou descrita em Criação de credenciais OAuth 2.0 para aplicações GitHub - JWT para Integrações de vulnerabilidade de aplicação do GitHub.
      Tipo de API Selecione um:
      Organização
      Escolha esta opção se quiser importar dados para uma organização específica por nome. O ambiente GitHub oferece suporte a várias organizações. Cada organização pode oferecer suporte a vários repositórios. Se você inserir uma organização, somente os dados dessa organização serão importados.
      Empresa
      O ambiente empresarial oferece suporte a várias organizações. Escolha esta opção se quiser importar dados de vulnerabilidade de todas as organizações em seu ambiente empresarial (nuvem).
      Nota:

      GitHub As aplicações não são compatíveis com APIs de nível empresarial.
      Nome da organização Nome da organização para seus repositórios GitHub. Somente os dados dos repositórios na organização que você inserir são importados.
      Selecione opções para gerenciar a gestão de exceções e falso-positivos.

      Selecione opções para gerenciar fluxos de trabalho de gestão de exceções e falso-positivos para itens vulneráveis (IVAs) de aplicações com ServiceNow automaticamente após a importação.

      Gerenciar exceções no ServiceNow
      Deixe esta opção ativada se quiser fazer a triagem de AVIs importados marcados para o estado Adiado.

      AVIs com estados de origem que normalmente são mapeados para um estado Adiado em sua instância são mapeados para Aberto.

      Você solicita uma exceção do registro AVI.

      Gerenciar falsos positivos no ServiceNow
      Deixe esta opção ativada se quiser fazer a triagem de AVIs importados com estados de origem marcados como Falso-positivo ou Possível falso-positivo.

      AVIs com esses estados de origem que normalmente são mapeados para um estado Closed em sua instância são mapeados para Open.

      Você solicita um falso-positivo do registro AVI.
      • Desative uma ou ambas as caixas de seleção se quiser preservar os estados de origem importados do scanner.
      • Se desativado, as ações Solicitar exceção e Falso-positivo não ficarão visíveis nos AVIs.
    4. Selecione Salvar e testar credenciais.
    5. Execute a integração de repositórios GitHub antes de executar as outras integrações.
      As outras GitHub integrações dependem dos dados da aplicação atuais importados da integração de repositórios. Os dados da integração de repositórios são armazenados na tabela Aplicações descobertas [sn_vul_app_release]. Para obter mais informações, consulte Exibir o Integrações de vulnerabilidade de aplicação do GitHub status de execução de importação e os dados do repositório importados.