Veracode Vulnerability Integration

Gestão de segurança do Yokohama

Release

yokohama

ft:locale

pt-BR

ft:publication_title

Gestão de segurança do Yokohama

ft:clusterId

security

bundleId

security

workflow

Technology

Veracode Vulnerability Integration

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

7 min. de leitura

A aplicação Resposta a vulnerabilidades Integration with Veracode usa dados importados do produto Veracode para ajudar você a determinar o impacto e a prioridade das falhas no seu código.

Veracode Vulnerability Integration

O produto Veracode coleta dados do teste de segurança da aplicação dinâmico (DAST), teste de segurança da aplicação estático (SAST) e dados do scanner manual e disponibiliza esses dados para o Now Platform®. Ele se integra facilmente ao recurso Resposta a vulnerabilidades de aplicações de Resposta a vulnerabilidades para mapear vulnerabilidades de terceiros que enriquecem os dados em sua instância.

A partir da v19.0 de Resposta a vulnerabilidades, você pode importar vulnerabilidades da Análise de composição de software (SCA) e dados de vulnerabilidade Lista de materiais de software (SBOM) para ajudá-lo a identificar pontos fracos em seus aplicativos de software. Para obter mais informações, consulte Explorando Lista de materiais de software.

Uma API compartilhada ingere dados de DAST, SAST, SCA e resultados de testes de invasão manual.

Há um usuário executar como configurado para cada registro de integração. O valor padrão para este usuário é VR.System. Não altere este valor.

Todos os dias, os trabalhos agendados invocam as integrações automaticamente na ordem em que são listadas. Você também pode executar trabalhos agendados individuais manualmente. Os trabalhos agendados simplificam o ciclo de vida de correção de vulnerabilidades, mantendo a instância sincronizada com outros sistemas de gestão de vulnerabilidades.

Obter mais detalhes de Veracode

A partir da v4.2, selecione Obter mais detalhes sobre itens vulneráveis de aplicação (AVITs) que têm Veracode como a origem na tabela Item vulnerável da aplicação [sn_vul_app_vulnerable_item] ou nas exibições de lista nos Espaços de resposta a vulnerabilidades para exibir os seguintes dados Veracode.

Os detalhes da solicitação de origem HTTP e da resposta de origem para verificações do Teste de segurança da aplicação dinâmico (Dynamic Application Security Testing, DAST) são exibidos na lista relacionada Solicitação/resposta HTTP.
As recomendações de solução de Veracode são exibidas na lista relacionada Descobertas.
A solicitação de origem HTTP, a resposta de origem e as recomendações são exibidas na guia Detalhes nos espaços de resposta a vulnerabilidades Resposta a vulnerabilidades.
A coluna Descrição é compatível com a tabela Item vulnerável da aplicação [sn_vul_app_vulnerable_item].

Versões disponíveis


Versão de lançamento	Notas da versão
Veracode v4.3 Veracode v4.2 Veracode v4.1	Application Vulnerability Response release notes Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão

Grupo de usuários e funções

O Veracode Vulnerability Integration é instalado por um administrador do sistema [admin] e configurado por um membro do grupo de gerentes do App-Sec. Para obter mais informações, consulte Resposta a vulnerabilidades de aplicações grupos de usuários e funções.

Veracode Vulnerability Integration

Para exibir as Veracode integrações de vulnerabilidade, navegue até Tudo > Integração de vulnerabilidade da Veracode > Integrações.

As seguintes integrações estão incluídas no sistema de base.

Tabela 1. Veracode Vulnerability Integration
Integração	Descrição
A partir da versão 4.1: Veracode Vincular projetos de integração	Esta integração é ativada por padrão. Recupera todos os projetos associados a cada aplicação de Veracode. As aplicações podem ter vários projetos na aplicação Veracode. Os dados importados desta integração são exibidos nos seguintes registros: A data da última verificação de SCA, a data de criação da aplicaçãoe a data de atualização da aplicação são listadas nos registros em Aplicações descobertas. Nos registros de resumo de verificação de vulnerabilidades da aplicação e nos itens vulneráveis da aplicação (AVITs), o status do SDLC de origem (ciclo de vida de desenvolvimento de software) é exibido. A exploração de origem é exibida em registros de item vulnerável da aplicação (IVA).
Veracode Integração da lista de aplicações (JSON)	Esta integração está inativa por padrão. Recupera Veracode dados do scanner de aplicações (vulnerabilidades, metadados) e aprimora os dados da aplicação. Recupera registros de verificação de Veracode por meio de uma API baseada em JSON.
Veracode Integração da lista de aplicações (XML)	Esta integração está inativa por padrão. A versão baseada em XML desta integração foi desativada (descontinuada). Recupera Veracode dados do scanner de aplicações (vulnerabilidades, metadados) e aprimora os dados da aplicação. Esta integração está definida para ser executada diariamente às 00:00:00. Nota: Uma API baseada em JSON de Veracode é usada para recuperar a lista de aplicações. Esta API importa a "data da última verificação de conformidade com a política" dessas aplicações, o que significa quando essas aplicações foram verificadas pela última vez por Veracode.
Veracode Lista de materiais de software (SBOM) Integração	A versão 4.3 do Veracode Vulnerability Integration inclui os seguintes aprimoramentos com arquivos Veracode SBOM : Se você instalou o SBOM Response, terá a opção de incluir vulnerabilidades encontradas por Veracode nos arquivos SBOM carregados. Veracode é mapeado para o campo Origem para registros na tabela Lista de materiais [sn_sbom_doc] para os arquivos Veracode SBOM. Esta integração é ativada por padrão. A partir da versão 4.2, o importa arquivos Lista de materiais de software nos formatos CycloneDX e SPDX gerados por Veracode e os enfileira para análise em sua instância. Você deve ter as aplicações Lista de materiais de software instaladas para importar esses dados e exibi-los.
Veracode Integração de resumo de verificação (JSON)	Esta integração está inativa por padrão. Recupera registros de verificação de Veracode por meio de uma API baseada em JSON. Esta integração substitui a integração de API baseada em XML. Ele é encadeado e segue a Veracode integração de lista de aplicações quando ativado.
Veracode Resumo da verificação (XML)	Esta integração está inativa por padrão. A versão baseada em XML desta integração foi desativada (descontinuada). Recupera registros de verificação de Veracode. Esta integração é encadeada e segue a Veracode integração de lista de aplicações quando ativada. Nota: Segue automaticamente a integração Veracode da lista de aplicações quando ela é ativada. Com a "Data da última verificação de conformidade com a política" das aplicações de Veracode, esta integração recupera dados somente das aplicações que foram verificadas após o "delta_start_time" desta integração.
Veracode Integração de JSON de item vulnerável da aplicação	A partir da v4.2, exiba detalhes como tempos totais de processamento, tempos médios para processos de execução de pré e pós-integração e relatórios sobre os registros de execução de integração para as integrações de item vulnerável de aplicação. Esta integração está inativa por padrão. Recupera resultados de verificação com mais dados de vulnerabilidade do que a integração baseada em XML de Veracode. Ele insere AVIs e aprimora seus dados de vulnerabilidade de terceiros.
Veracode Integração de item vulnerável da aplicação (XML)	A partir da v4.2, exiba detalhes como tempos totais de processamento, tempos médios para processos de execução de pré e pós-integração e relatórios sobre os registros de execução de integração para as integrações de item vulnerável de aplicação. Esta integração está inativa por padrão. Recupera resultados de verificação de Veracode, insere Itens vulneráveis de aplicação (AVITs) e aprimora seus dados de vulnerabilidade de terceiros. Por padrão, se o registro do scanner estiver no estado Fechado, os AVITs não serão criados. Os AVITs existentes ainda estão atualizados. Esta integração é encadeada e segue a Veracode Integração de resumo de verificação quando ativada. A API baseada em XML está obsoleta para a Veracode integração JSON de resumo de verificação. Nota: Segue automaticamente a Veracode Integração de resumo de verificação. Com a "Data da última verificação de conformidade com a política" das aplicações de Veracode, esta integração recupera dados somente das aplicações que foram verificadas após o "delta_start_time" desta integração.
Veracode Integração de categorias	Esta integração está inativa por padrão. Recupera dados de Categorias aprimoradas de Veracode.
Veracode Integração do CWE	Esta integração é ativada por padrão. Recupera Veracode - dados específicos de Enumeração de pontos fracos comuns (CWE) para informações sobre ameaças e recomendações de correção. Esses dados são preenchidos e atualizados nos registros de entrada de vulnerabilidade da aplicação. Esta integração do CWE opera independentemente do trabalho agendado para a Integração do CWE Abrangente 2000 que você ativa para a aplicação Resposta a vulnerabilidades. Seus dados não serão duplicados se você tiver a integração Veracode do CWE e a integração do CWE Abrange 2000 ativadas.
Veracode Integração de DevOps	Esta integração está inativa por padrão. A integração pode ser visualizada na lista Integrações de vulnerabilidade da aplicação em Resposta a vulnerabilidades de aplicações. Se você tiver uma licença do DevOps Change Velocity, este recurso será estruturado para que os usuários do DevOps não precisem de uma licença do SecOps para exibir detalhes de resumo das verificações de vulnerabilidade de terceiros. Não há impacto ou mudança para Resposta a vulnerabilidades de aplicações.

Para status de execução de integração, consulte Exibir o Veracode status de execução da importação da Integração de vulnerabilidade da aplicação.

Para exibir dados em vulnerabilidades de terceiros, consulte Exibir bibliotecas de vulnerabilidades.