Configurez la GitHub Application Vulnerability Integration.

  • Rversion finale: Australia
  • Mis à jour 30 avr. 2026
  • 6 minutes de lecture

    • Avant d’exécuter l’intégration sur votre instance, les étapes d’installation et de configuration doivent être terminées afin que le produit GitHub s’intègre correctement à Réponse aux vulnérabilités des applications. Cette application est disponible sous forme d’abonnement distinct.

    Avant de commencer

    Rôles requis :
    • Groupe d’utilisateurs du gestionnaire App-Sec
    • sn_vul.app_sec_manager requis pour la configuration OAuth

    Procédure

    1. Accédez à la Tous > Intégration de vulnérabilité de GitHub > Configuration.
    2. Choisissez Authentification de base ou OAuth comme type d’authentification.
    3. Renseignez les champs en fonction du type que vous choisissez.
      Si vous sélectionnez l’authentification de base.
      Champ Description
      URL D'API L’URL d’API appropriée GitHub pour les entreprises ou sur site. L’URL par défaut est https://api.github.com. On-premise est votre GitHub URL de point de terminaison.
      Jeton d'API Jeton que vous avez généré à partir de votre GitHub console.
      Type d'API Sélectionner un élément :
      Organisation
      Choisissez cette option si vous souhaitez importer des données pour une organisation spécifique par nom. L’environnement GitHub prend en charge plusieurs organisations. Chaque organisation peut prendre en charge plusieurs référentiels. Si vous saisissez une organisation, seules les données de cette organisation sont importées.
      Entreprise
      L’environnement d’entreprise prend en charge plusieurs organisations. Choisissez cette option si vous souhaitez importer des données de vulnérabilité de toutes les organisations de votre environnement d’entreprise (cloud).
      Nom de l’entreprise (si vous sélectionnez Entreprise pour le type d’API). Nom de votre environnement d’entreprise. Vos environnements peuvent prendre en charge plus d’une organisation.

      En mode Entreprise (api_type = 2), l’intégration des organisations doit d’abord s’exécuter car elle répertorie par /enterprises/{enterprise_name}/orgs et référentiels, puis se déploie dans chaque organisation renvoyée. Le Réponse aux vulnérabilités des applications planificateur (AVR) gère cette action automatiquement par défaut.

      Remarque :
      Une indication de prorogation est affichée pour le champ Nom de l’entreprise afin de clarifier cette valeur : Nom de l’entreprise tel qu’il se trouve dans la console GitHub. Ce champ n’est pas utilisé dans la validation des informations d’identification.
      Nom de l’organisation (si vous sélectionnez Organisation pour le type d’API). Nom de votre GitHub référentiel. Seules les données de l’organisation que vous saisissez sont importées.

      En mode Organisation (api_type = 1), l’intégration des référentiels est importée directement par /orgs/{organisation_name}/repos, et l’intégration des organisations s’exécute uniquement sous forme d’actualisation des métadonnées et l’ordre d’exécution n’a aucune importance.
      Serveur MID Un serveur MID est requis pour les instances sur site d’authentification de base.
      Gérer les secrets génériques dans ServiceNow Activez cette option pour importer des secrets génériques avec les secrets normaux pour les éléments vulnérables de l’application (AVI).
      Sélectionnez des options pour gérer la gestion des exceptions et les faux positifs.

      Sélectionnez des options pour gérer automatiquement la gestion des exceptions et des faux positifs pour les éléments vulnérables d’applications (AVI) avec ServiceNow des workflows lors de l’importation.

      Gérer les exceptions dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés marqués pour l’état Différé .

      Les AVI avec des états Source qui sont normalement mappés à un état Différé dans votre instance sont plutôt mappés à Ouvert.

      Vous demandez une exception à l’enregistrement AVI.

      Gérer les faux positifs dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés dont l’état source est marqué comme Faux positif ou Faux positif potentiel.

      Les AVI avec ces états source qui sont normalement mappés à un état Fermé dans votre instance sont mappés à Ouvert.

      Vous demandez un faux positif à partir de l’enregistrement AVI.
      • Désactivez l’une ou les deux cases à cocher si vous souhaitez conserver les états Source importés à partir de votre scanner.
      • Si cette option est désactivée, les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVI.
      Instance d'intégration Instance dans laquelle vous importez des données.

      Si vous sélectionnez OAuth.

      Champ Description
      URL D'API L’URL d’API appropriée GitHub pour les entreprises ou sur site. L’URL par défaut est https://api.github.com. On-premise est votre GitHub URL de point de terminaison.
      Connexion La connexion que vous avez créée décrite dans .Création d’informations d’identification OAuth 2.0 pour GitHub les applications : JWT pour GitHub Application Vulnerability Integration
      Type d'API Lecture seule
      Remarque :

      Le type d’API Enterprise n’est pas pris en charge en tant que méthode d’authentification GitHub Apps lorsque OAuth est sélectionné.

      Sélectionner un élément :
      Nom de l'organisation Nom de l’organisation de vos GitHub référentiels. Seules les données des référentiels de l’organisation que vous saisissez sont importées.
      Gérer les secrets génériques dans ServiceNow Activez cette option pour importer des secrets génériques avec les secrets normaux pour les éléments vulnérables de l’application (AVI).
      Sélectionnez des options pour gérer la gestion des exceptions et les faux positifs.

      Sélectionnez des options pour gérer automatiquement la gestion des exceptions et des faux positifs pour les éléments vulnérables d’applications (AVI) avec ServiceNow des workflows lors de l’importation.

      Gérer les exceptions dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés marqués pour l’état Différé .

      Les AVI avec des états Source qui sont normalement mappés à un état Différé dans votre instance sont plutôt mappés à Ouvert.

      Vous demandez une exception à l’enregistrement AVI.

      Gérer les faux positifs dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés dont l’état source est marqué comme Faux positif ou Faux positif potentiel.

      Les AVI avec ces états source qui sont normalement mappés à un état Fermé dans votre instance sont mappés à Ouvert.

      Vous demandez un faux positif à partir de l’enregistrement AVI.
      • Désactivez l’une ou les deux cases à cocher si vous souhaitez conserver les états Source importés à partir de votre scanner.
      • Si cette option est désactivée, les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVI.
    4. Sélectionnez Enregistrer et tester les informations d’identification.
      Remarque :
      Avant d’exécuter une intégration, vérifiez que le script planifié « Marquer scantype en secret générique » s’est terminé correctement. Ce script est configuré pour s’exécuter toutes les 5 minutes jusqu’à ce qu’il soit terminé. Une fois l’opération terminée, vérifiez que son paramètre d’exécution est défini sur Sur demande. Si ce n’est pas le cas, vérifiez les journaux système pour voir s’il y a des erreurs.
    5. En fonction de ce que vous avez sélectionné pour le type d’API, choisissez-en un.
      OptionDescription
      Si vous avez choisi le type d’API Enterprise, exécutez l’intégration des GitHub organisations avant d’exécuter les autres intégrations. Vous devez d’abord exécuter l’intégration des organisations pour importer toutes les organisations d’une entreprise (le cas échéant), puis exécuter l’intégration des référentiels avant d’exécuter les autres intégrations. Les autres intégrations GitHub dépendent des données d’application actuelles importées à partir de l’intégration de référentiel.
      Si vous avez choisi le type d’API Organisation, exécutez l’intégration des référentiels GitHub avant d’exécuter les autres intégrations. Les autres intégrations GitHub dépendent des données d’application actuelles importées à partir de l’intégration de référentiel.
      Les intégrations sont activées par défaut. Vous pouvez désactiver des intégrations et planifier les exécutions d’intégration à partir des enregistrements d’intégration.
    6. Pour planifier des intégrations et définir des heures de début ou les désactiver, accédez à Tous > Intégration de vulnérabilité GitHub > Intégrations.
    7. Sélectionnez un lien dans la colonne Nom pour ouvrir un enregistrement et définir les heures de début.
      Vous pouvez sélectionner la prochaine intégration que vous souhaitez exécuter une fois l’intégration en cours de modification terminée. Pour lancer l’intégration sur demande, sélectionnez Exécuter maintenant.
    8. Facultatif : Consultez Afficher l’état de l’exécution de l’importation et les GitHub Application Vulnerability Integration données du référentiel importé pour plus d'informations.