Veracode Vulnerability Integration
L’intégration Réponse aux vulnérabilités à Veracode l’application utilise des données importées à partir du produit pour vous aider à déterminer l’impact et la priorité des failles Veracode dans votre code.
Veracode Vulnerability Integration
Le Veracode produit collecte les données des tests dynamiques de sécurité des applications (DAST), des tests de sécurité des applications statiques (SAST) et des scanners manuels et met ces données à la disposition du Now Platform®. Il s’intègre facilement à la Réponse aux vulnérabilités des applications fonctionnalité de cartographie des Réponse aux vulnérabilités vulnérabilités tierces, enrichissant ainsi les données de votre instance.
À partir de la version 19.0 de , vous pouvez importer des vulnérabilités de l’analyse de Réponse aux vulnérabilitésla composition logicielle (SCA) et Nomenclature logicielle des données de vulnérabilité (SBOM) pour vous aider à identifier les faiblesses de vos applications logicielles. Pour plus d'informations, consultez Explorer Nomenclature logicielle.
Une API partagée ingère les données DAST, SAST, SCA et les résultats des tests de pénétration manuels.
Il existe un utilisateur d’exécution en tant que configuré pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. système. Ne modifiez en aucun cas cette valeur.
Chaque jour, les travaux planifiés appellent automatiquement les intégrations dans l’ordre dans lequel elles sont répertoriées. Vous pouvez également exécuter manuellement des travaux planifiés individuels. Les travaux planifiés simplifient le cycle de vie du rattrapage des vulnérabilités en maintenant l’instance synchronisée avec d’autres systèmes de gestion des vulnérabilités.
Obtenir plus de détails de Veracode
À partir de la version 4.2, sélectionnez Obtenir plus de détails sur les éléments vulnérables de l’application (AVIT) qui ont Veracode comme source dans la table Élément vulnérable de l’application [sn_vul_app_vulnerable_item] ou à partir des vues de listes dans les espaces de travail Réponse aux vulnérabilités pour afficher les données suivantes Veracode .
- Les détails de la demande source HTTP et de la réponse source pour les analyses de Test dynamique de sécurité des applications (DAST) sont affichés dans la liste connexe Demande/réponse HTTP.
- Les recommandations de solutions de Veracode sont affichées dans la liste connexe Résultats.
- La demande source HTTP, la réponse source et les recommandations sont affichées dans l’onglet Détails dans les espaces de travail Réponse Réponse aux vulnérabilités aux vulnérabilités.
- La colonne Description est prise en charge dans la table Élément vulnérable de l'application [sn_vul_app_vulnerable_item].
Versions disponibles
| Version de mise en production | Notes de publication |
|---|---|
| Veracode v4.3 Veracode v4.2 Veracode v4.1 |
Application Vulnerability Response release notes Pour plus d’informations sur la compatibilité, consultez KB0856498 Changements de matrice de compatibilité et de schéma de mise en production de Vulnerability Response |
Groupe d’utilisateurs et rôles
Le Veracode Vulnerability Integration système est installé par un administrateur système [administrateur] et configuré par un membre du groupe Gestionnaire App-Sec. Consultez Réponse aux vulnérabilités des applications Groupes et rôles d’utilisateurs pour plus d'informations.
Veracode Vulnerability Integration
Pour afficher les intégrations de Veracode vulnérabilité, accédez à .
Les intégrations suivantes sont incluses dans le système de base.
| Intégration | Description |
|---|---|
| À partir de la version 4.1 : Veracode Lier les projets Intégration | Cette intégration est activée par défaut. Récupère tous les projets associés pour chaque application à partir de Veracode. Les applications peuvent avoir plusieurs projets dans l’application Veracode . Les données importées à partir de cette intégration sont affichées dans les enregistrements suivants :
|
| Veracode Intégration de la liste des applications (JSON) | Cette intégration est désactivée par défaut. Récupère les données du scanner d’application (vulnérabilités Veracode , métadonnées) et enrichit vos données d’application. Récupère les enregistrements d’analyse Veracode via une API basée sur JSON. |
| Veracode Intégration de la liste des applications (XML) | Cette intégration est désactivée par défaut. La version XML de cette intégration a été désactivée (déconseillée). Récupère les données du scanner d’application (vulnérabilités Veracode , métadonnées) et enrichit vos données d’application. Cette intégration est définie pour s’exécuter quotidiennement à 00:00:00. Remarque : Une API basée sur JSON est Veracode utilisée pour récupérer la liste des applications. Cette API importe la « date de dernière vérification de conformité de politique » pour ces applications, ce qui indique la date de la dernière analyse de ces applications par Veracode. |
| Veracode Nomenclature logicielle (SBOM) Intégration | La version 4.3 du Veracode Vulnerability Integration comprend les améliorations suivantes avec Veracode SBOM les fichiers :
Cette intégration est activée par défaut. À partir de la version 4.2, importe les Nomenclature logicielle fichiers aux formats CycloneDX et SPDX générés par Veracode et les met en file d’attente pour les analyser dans votre instance. Vous devez avoir installé les Nomenclature logicielle applications pour importer ces données et les afficher. |
| Veracode Intégration de la synthèse de l’analyse (JSON) |
Cette intégration est désactivée par défaut. Récupère les enregistrements d’analyse Veracode via une API basée sur JSON. Cette intégration remplace l’intégration d’API basée sur XML. Il est enchaîné et suit l’intégration de la liste des applications lorsqu’il Veracode est activé. |
| Veracode Synthèse de l’analyse (XML) |
Cette intégration est désactivée par défaut. La version XML de cette intégration a été désactivée (déconseillée). Récupère les enregistrements d’analyse à partir de Veracode. Cette intégration est enchaînée et suit l’intégration de la liste d’applications lorsqu’elle Veracode est activée. Remarque :
Suit automatiquement l’intégration de la Veracode liste des applications lorsqu’elle est activée. Avec la « dernière date de vérification de conformité de politique » pour les applications de Veracode, cette intégration récupère uniquement les données des applications qui ont été analysées après la « delta_start_time » de cette intégration. |
| Veracode Intégration JSON d’élément vulnérable d’application |
À partir de la version 4.2, affichez des détails tels que les temps de traitement totaux, les temps moyens des processus avant et après l’exécution de l’intégration, ainsi que des rapports sur les enregistrements d’exécution de l’intégration pour les intégrations d’éléments vulnérables de l’application. Cette intégration est désactivée par défaut. Récupère les résultats de l’analyse contenant plus de données de vulnérabilité que l’intégration basée sur XML à partir de Veracode. Il insère des AVI et enrichit vos données de vulnérabilité tierces. |
| Veracode Intégration d’éléments vulnérables d’application (XML) |
À partir de la version 4.2, affichez des détails tels que les temps de traitement totaux, les temps moyens des processus avant et après l’exécution de l’intégration, ainsi que des rapports sur les enregistrements d’exécution de l’intégration pour les intégrations d’éléments vulnérables de l’application. Cette intégration est désactivée par défaut. Récupère les résultats de l’analyse à partir de Veracode, insère des éléments vulnérables de l’application (AVIT) et enrichit vos données de vulnérabilité tierces. Par défaut, si l’enregistrement du scanner est à l’état Fermé , les AVIT ne sont pas créés. Les AVIT existants sont toujours à jour. Cette intégration est enchaînée et suit l’intégration du résumé de l’analyse lorsqu’elle Veracode est activée. L’API basée sur XML est déconseillée pour l’intégration JSON du résumé de l’analyse Veracode . Remarque : Suit automatiquement l’intégration du résumé de l’analyse Veracode . Avec la « dernière date de vérification de conformité de politique » pour les applications de Veracode, cette intégration récupère uniquement les données des applications qui ont été analysées après la « delta_start_time » de cette intégration. |
| Veracode Catégories Intégration | Cette intégration est désactivée par défaut. Récupère les données de catégories améliorées à partir de Veracode. |
| Veracode Intégration CWE |
Cette intégration est activée par défaut. Récupère des données CWE (Common Weakness Enumeration) spécifiques pour obtenir des informations sur les menaces et des Veracode recommandations de correction. Ces données sont renseignées et mises à jour dans les enregistrements Entrée de vulnérabilité de l’application. Cette intégration CWE fonctionne indépendamment de la tâche planifiée pour l’intégration complète CWE 2000 que vous activez pour l’application Réponse aux vulnérabilités . Vos données ne sont pas dupliquées si vous avez activé l’intégration Veracode CWE et l’intégration complète CWE 2000. |
| Veracode Intégration DevOps | Cette intégration est désactivée par défaut. L’intégration est visible sur la liste Intégrations de vulnérabilité de l’application dans Réponse aux vulnérabilités des applications. Si vous disposez d’une licence DevOps Change Velocity, cette fonctionnalité est structurée de manière à ce que les utilisateurs DevOps n’aient pas besoin d’une licence SecOps pour afficher les détails récapitulatifs des analyses de vulnérabilité tierces. Il n’y a aucun impact ni changement à Réponse aux vulnérabilités des applications. |
Pour les états d’exécution de l’intégration, Afficher l’état de l’exécution de l’importation de l’intégration de vulnérabilité de l’application Veracodereportez-vous à la section .
Pour afficher les données dans les vulnérabilités tierces, reportez-vous à la section Afficher les bibliothèques de vulnérabilités.