Konfigurieren Sie die Eigenschaften Vulnerability Response-Integration mit Black Duck

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Bevor Sie Vulnerability Response-Integration mit Black Duck in Ihrer Instanz von ausführen, müssen Sie die Installations- und Konfigurationsschritte durchführen, damit das Tool Black Duck Software Composition Analysis (SCA) ordnungsgemäß in die Anwendung Application Vulnerability Response integriert werden kann.

    Vorbereitungen

    Erforderliche Rolle: Anwendergruppe „App-Sec-Manager“.

    Warum und wann dieser Vorgang ausgeführt wird

    Vulnerability Response-Integration mit Black Duck ist als separates Abonnement verfügbar.

    Prozedur

    1. Navigieren zu Alle > Blackduck-Schwachstellenintegration > Konfigurationan.
    2. Wählen Sie den Standardauthentifizierungstyp aus.
      Die Standardauthentifizierung erfordert MID-Server für lokale Instanzen. Sie können das API-Token, das für die Standardauthentifizierung erforderlich ist, von Ihrem Black Duck-Konto generieren.
    3. Füllen Sie die Felder des Formulars aus.
      Basic Authentication
      Feld Beschreibung
      API-URL Black-Duck-API-URL für Enterprise-Instanzen oder lokale Instanzen. Die lokale Instanz ist Ihre Black-Duck-Endpunkt-URL.
      API-Token Token, das Sie über Ihre Black Duck-Konsole generiert haben.
      MID-Server MID-Server , das für lokale Instanzen für die Standardauthentifizierung erforderlich ist.
      SCA einbeziehen Schwachstellen aus Software Composition Analysis-Scans (SCA), die standardmäßig enthalten sind. SCA-Scans identifizieren die Schwachstellen in Open Source-Komponenten.
      Wählen Sie die Option zum Verwalten von Falschmeldungen in ServiceNow ServiceNow Option zum Verwalten von Falschmeldungen. Lassen Sie diese Option aktiviert, wenn Sie die importierten angreifbaren Elemente der Anwendung (Application Vulnerable Items, AVIs) mit Quellstatus, die als Falsch positiv oder Potenziell falsch positivmarkiert sind, selektieren möchten.

      AVIs mit diesen Quellstatus, die in Ihrer Instanz normalerweise einem Status „ Geschlossen “ zugeordnet sind, werden Offenzugeordnet.

      Sie können ein Falsch positives Ergebnis aus dem AVI-Datensatz anfordern.
      • Deaktivieren Sie eine oder beide Optionen, wenn Sie die Quellstatus beibehalten möchten, die von Ihrem Scanner importiert wurden.
      • Wenn diese Option deaktiviert ist, sind die Aktionen „ Ausnahme anfordern “ und „ Falsch positiv “ in den AVIs nicht sichtbar.
      Integrationsinstanz Instanz, die Sie zum Importieren der Daten verwenden.
    4. Wählen Sie Anmeldeinformationen speichern und testen aus.
    5. Führen Sie die Black-Duck-Projektlistenintegration aus, bevor Sie andere Integrationen ausführen.
      Die anderen Black-Duck-Integrationen, z. B. die Black-Duck-Applikationslisten-Integration und die Black-Duck-Integration für angreifbare Elemente der Anwendung, hängen von den aktuellen Projekt- und Anwendungsdaten ab, die Sie aus der Projektlisten-Integration importiert haben.