Integrações de vulnerabilidade de aplicação do GitHub
. Integrações de vulnerabilidade de aplicação do GitHub Importa dados de teste de segurança de aplicações estáticas (SAST) e Análise de composição de software (SCA) para ajudar você a exibir alertas de vulnerabilidade nos repositórios do seu GitHub ambiente.
Integrações de vulnerabilidade de aplicação do GitHub
. Integrações de vulnerabilidade de aplicação do GitHub coleta dados do scanner e disponibiliza esses dados para o. ServiceNow AI Platform®. Ele se integra facilmente ao ServiceNow® Resposta a vulnerabilidades de aplicações recurso de Resposta a vulnerabilidades para mapear vulnerabilidades de terceiros e. GitHub alertas em sua instância.
. GitHub o ambiente oferece suporte a várias organizações. Essas organizações, tanto no local quanto no Enterprise, podem conter vários departamentos, como Engenharia, Qualidade, Documentação e assim por diante. Cada organização, por sua vez, pode oferecer suporte a vários repositórios. Depois de importar os dados da aplicação com GitHub Integração de repositórios, você pode importar dados de vulnerabilidade e alertas desses repositórios. Os dados importados são processados como uma aplicação no Resposta a vulnerabilidades de aplicações aplicação. Quando os scanners detectam vulnerabilidades e geram alertas para os repositórios, as vulnerabilidades são criadas em Resposta a vulnerabilidades de aplicações.
Há um usuário de execução configurado para cada registro de integração. O valor padrão para este usuário é VR.System . Não mude este valor.
Versões disponíveis
| Versão de lançamento | Notas de versão |
|---|---|
| Integrações de vulnerabilidade de aplicação do GitHub v1.2, v1.1, 1,0 |
Application Vulnerability Response release notes Para obter informações de compatibilidade, consulte KB0856498 Matriz de compatibilidade do Vulnerability Response e Mudanças no esquema de versão |
Integrações do GitHub
| Integração | Descrição |
|---|---|
| GitHub Integração de repositórios | A partir da v1.1, importe todos os dados da aplicação para seu GitHub Contas no local e na nuvem (Enterprise). A integração importa aplicações dos repositórios que você configurou para uma organização (no local) ou do seu ambiente empresarial (nuvem). Execute esta integração antes de executar a outra GitHub Integrações, porque dependem dos dados da aplicação atual importados da Integração de repositórios. |
| GitHub Integração do CodeScan | Recupera alertas de vulnerabilidade de verificação de código de GitHub repositórios para vulnerabilidades de segurança e erros de codificação. Os dados importados são mapeados para os resultados do SAST em sua instância. |
| GitHub Integração dependente | Recupera alertas dependentes para dependências com vulnerabilidades conhecidas de repositórios. Os dados importados são mapeados para os resultados do SCA em sua instância. |
| GitHub Verificação secreta | Recupera segredos do código da sua organização junto com os resultados do teste de segurança da aplicação. Os dados são mapeados para os resultados do SCA em sua instância. |
| GitHub Local de verificação secreta | Recupera o local e os números de linha dos segredos verificados no código da sua organização para ajudar os desenvolvedores a corrigir. |
Carregando SBOM arquivos para ServiceNow AI Platform® do seu GitHub repositórios
Determine se SBOM Os arquivos gerados em seus pipelines de IC/CD (integração contínua e entrega/implantação contínua) foram enfileirados com sucesso em seu ServiceNow AI Platform® instância.
- Proteja seus ambientes contra componentes potencialmente prejudiciais durante os ciclos de desenvolvimento de software com GitHub Ações que você inicia a partir de GitHub ambiente.
- Obtenha qualquer necessário GitHub Ações para SBOM Carregue no GitHub Marketplace.
. SBOM as aplicações são necessárias para carregar SBOM arquivos. Para obter mais informações, consulte Explorando Lista de materiais de software.
Exibindo dados importados
Dados da aplicação importados do GitHub A integração de repositórios é exibida na tabela Aplicações descobertas [sn_vul_app_release]. Execute esta integração primeiro.
A Integração de repositórios importa marcadores e tópicos que você configurou para um repositório no GitHub Conta no menu Configurações. Todas as propriedades personalizadas estão localizadas no menu em seu repositório. Os valores definidos para as propriedades são importados como pares de chave-valor. Para obter mais informações sobre onde exibir essas informações em sua instância, consulte Exiba Integrações de vulnerabilidade de aplicação do GitHub status de execução de importação e dados importados do repositório.
Dados importados (descobertas) do GitHub A Integração dependente é exibida nas tabelas a seguir.
- Aplicações descobertas [sn_vul_app_release].
- Resumos de verificação de vulnerabilidades da aplicação [sn_vul_app_vul_scan_summary].
- Itens vulneráveis da aplicação [sn_vul_app_vulnerable_item].
- Pacotes [sn_vul_app_package].
Os dados importados da integração do GitHub CodeScan são exibidos nas tabelas a seguir.
- Aplicações descobertas [sn_vul_app_release].
- Resumos de verificação de vulnerabilidades da aplicação [sn_vul_app_vul_scan_summary].
- Entradas de vulnerabilidade da aplicação [sn_vul_app_vul_entry].
- Itens vulneráveis da aplicação [sn_vul_app_vulnerable_item].