Fortify 脆弱性統合 の構成

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む6読むのに数分

    • インスタンスで統合を実行する前に、インストールと構成のステップを完了して、脆弱性対応アプリケーション脆弱性対応 機能を Fortify 製品と適切に統合できるようにします。このアプリケーションは別のサブスクリプションとして利用できます。

    始める前に

    必要なロール:アプリケーションセキュリティマネージャー

    インストールの前に、次のセットアップチェックリストを完了します。これらのセットアップタスクは、インストールと構成をスムーズに行うために必要です。

    注:
    このプロセスは、本番インスタンスにダウンロードしたアプリケーションにのみ適用されます。準本番インスタンスまたは開発インスタンスにアプリケーションをダウンロードする場合は、資格付与の取得は必要ありません。「ServiceNow Store アプリケーションのアクティブ化」に進みます。
    セットアップタスク 説明
    脆弱性対応 アプリケーションがインストールされ、アクティブ化されていることを確認します。

    このアプリケーションがアクティブ化されていることを確認するには、次の場所に移動します。 サブスクリプション管理 > サブスクリプション すぐに利用できますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「脆弱性対応 のインストール」を参照してください。
    脆弱性対応 Integration with Fortify アプリケーションがインストールされ、アクティブ化されていることを確認します。

    このアプリケーションがアクティブ化されていることを確認するには、次の場所に移動します。 サブスクリプション管理 > サブスクリプション すぐに利用できますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「ServiceNow Vulnerability Response Integration with Fortify のインストール」を参照してください。
    インスタンスに必要な ServiceNow ロールがあることを確認します。 インストール、構成、および予想される結果の検証には、次のロールが必要です。
    • まだアサインされていない場合、システム管理者 [admin] はアプリをインストールして、ユーザーをアプリセキュリティマネージャーグループにアサインします。
    • アプリセキュリティマネージャーは構成を監督し、期待される結果を検証します。

    Fortify 脆弱性統合 の場合は、API IDAPI キーを用意します。

    Fortify に接続し、API IDAPI キーを取得します。

    手順

    1. Fortify アプリケーション脆弱性統合をインストールするインスタンスにログインします
    2. ServiceNow Store に移動します。
    3. ServiceNow Store で、脆弱性対応 Integration with Fortify アプリケーションを検索します。
    4. アプリケーションタイルをクリックします。
      インストールしているアプリケーションに関する詳細情報が表示されます。
      注:
      該当する場合は、[他の要件] および [依存関係] セクションを読むことを検討してください。
    5. [アプリを要求] をクリックし、Now Support ログイン資格情報を入力します。
    6. [取得] をクリックします。
    7. [インスタンス名][インスタンスの理由] を入力し、[インスタンスを検証] をクリックします。
    8. [要求] をクリックします。
      詳細なインストール手順が記載されたメールが届きます。
    9. 移動先 システムアプリケーション > アプリケーション.
    10. アプリケーションを見つけて選択し、[インストール] をクリックします。
      アプリケーションはインスタンスに自動でインストールされます。
    11. インストールが完了したら、次の場所に移動します。 Fortify 脆弱性統合 > FoD 構成.
    12. フォームのフィールドに入力します。
      表 : 1. Fortify オンデマンド構成フォーム
      フィールド 説明
      API ルート URL ユーザーの Fortify インスタンス URL。
      API キー Fortify API に送信される一意の識別子。
      API シークレット Fortify で提供されるクライアントシークレット。
      DAST を含める DAST スキャンからの脆弱性を含めるオプション。DAST スキャンは、アプリケーション全体の動作から脆弱性を特定します。
      SAST を含める SAST スキャンからの脆弱性を含めるオプション。SAST スキャンはコードの脆弱性を特定します。
      ServiceNow での例外と誤検出のトリアージ (Vulnerability Response v20.0 以降) インポート時に自動的にワークフローを使用して ServiceNow AVI の例外管理と誤検出を管理するためのオプションを選択します。これらのオプションはデフォルトで有効になっています。使用例については、「」を参照してください での保留と誤検出のステータスマッピングの管理 アプリケーション脆弱性対応
      での例外の管理 ServiceNow
      保留ステータスとしてマークされたインポート済み AVI をトリアージする場合は、このオプションを有効のままにします。

      通常はインスタンスで保留ステータスにマッピングされるソースステータスを持つ AVI は、代わりに [オープン] にマッピングされます。

      AVI レコードから 例外を要求 します。

      での誤検出の管理 ServiceNow
      インポートされた AVI をソースステータスが検出または誤検出の可能性としてマークされている状態でトリアージする場合は、このオプションを有効のままにします。

      通常、インスタンスで [クローズ済み] ステータスにマッピングされるこれらのソースステータスを持つ AVI は、[オープン] にマッピングされます。

      AVI レコードから 誤検出 を要求します。
      • スキャナーからインポートされた ソース ステータスを保持する場合は、一方または両方のチェックボックスを無効にします。
      • これらの AVI は、インポート時に [ターゲットステータス] および [ターゲット理由] ステータスにマッピングされますが、例外および誤検出ワークフローによってトリアージされません。例外の要求誤検出アクションは、AVI には表示されません。
      ServiceNow でのトリアージ (v20.0 より前の Vulnerability Response の場合) インスタンスでの ServiceNow アプリケーション脆弱性トリアージを管理します。
      • 内の AVI をトリアージするには ServiceNow、チェックボックスをオンにします。このオプションを選択すると、AVI は [オープン] ステータスでインポートされます。その後、例外を要求するか、AVI を誤検出としてマークすることができます。
      • ソースステータス、つまりスキャナーからインポートされたステータスを保持するには、このチェックボックスが選択されていないことを確認します。
      注:
      [誤検出としてマーク] および [例外の要求] オプションは、ServiceNow 内でトリアージされる AVI でのみ使用できます。
    13. [資格情報を保存してテスト] を選択します。

    次のタスク

    環境でドメイン分離インポートが必要な場合は、「統合のためのドメイン分離インポートの作成」を参照してください。

    初期インストールの詳細については、「アプリケーション脆弱性対応 の構成」を参照してください。

    初期インストール後の変更については、「Fortify 脆弱性統合 の変更とアクティビティ」を参照してください。