Veracode Vulnerability Integration

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 7 minutes de lecture

    • L’intégration Réponse aux vulnérabilités à Veracode l’application utilise des données importées à partir du produit pour vous aider à déterminer l’impact et la priorité des failles Veracode dans votre code.

    Veracode Vulnerability Integration

    Le Veracode produit collecte les données des tests dynamiques de sécurité des applications (DAST), des tests statiques de sécurité des applications (SAST) et des scanners manuels et met ces données à la disposition du ServiceNow AI Platform®. Il s’intègre facilement à la Réponse aux vulnérabilités des applications fonctionnalité de cartographie des Réponse aux vulnérabilités vulnérabilités tierces, enrichissant ainsi les données de votre instance.

    À partir de la version 19.0 de , vous pouvez importer des vulnérabilités de l’analyse de Réponse aux vulnérabilités la composition logicielle (SCA) et Nomenclature logicielleSBOM des données de vulnérabilité () pour vous aider à identifier les faiblesses de vos applications logicielles. Pour plus d'informations, consultez Explorer Nomenclature logicielle.

    Une API partagée ingère les données DAST, SAST, SCA et les résultats des tests de pénétration manuels.

    Il existe un utilisateur « Exécuter en tant que » configuré pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. Système. Ne changez pas cette valeur.

    Chaque jour, les travaux planifiés appellent automatiquement les intégrations dans l’ordre dans lequel elles sont répertoriées. Vous pouvez également exécuter manuellement des travaux planifiés individuels. Les travaux planifiés simplifient le cycle de vie du rattrapage des vulnérabilités en maintenant l’instance synchronisée avec d’autres systèmes de gestion des vulnérabilités.

    Obtenir plus de détails à partir de Veracode

    À partir de la version 4.2, sélectionnez Obtenir plus de détails sur les éléments vulnérables de l’application (AVIT) qui ont Veracode comme source dans la table Élément vulnérable de l’application [sn_vul_app_vulnerable_item] ou à partir des vues de listes dans les espaces de travail Réponse aux vulnérabilités pour afficher les données suivantes Veracode .

    • Les détails de la demande source HTTP et de la réponse source pour les analyses de Test dynamique de sécurité des applications (DAST) sont affichés dans la liste connexe Demande/réponse HTTP.
    • Les recommandations de solutions de Veracode sont affichées dans la liste connexe Résultats.
    • La demande source HTTP, la réponse source et les recommandations sont affichées dans l’onglet Détails dans les espaces de travail Réponse Réponse aux vulnérabilités aux vulnérabilités.
    • La colonne Description est prise en charge dans la table Élément vulnérable de l'application [sn_vul_app_vulnerable_item].

    Versions disponibles

    Version Notes de publication
    Si vous avez l’intention d’effectuer une mise à niveau vers une version compatible avec Gestion unifiée des expositions de sécurité (USEM), veuillez sélectionner une version commençant par 30.x lors de l’installation ou de la mise à niveau. Application Vulnerability Response release notes

    Pour plus d’informations sur la compatibilité, consultez KB0856498 Changements apportés à la matrice de compatibilité de Réponse aux vulnérabilités et au schéma de mise en production
    Si vous n’avez pas l’intention d’effectuer une mise à niveau vers une version compatible avec Gestion unifiée des expositions de sécurité (USEM), veuillez sélectionner une version antérieure à 30.x lors de l’installation ou de la mise à niveau.

    Groupe et rôles d’utilisateurs

    Le Veracode Vulnerability Integration est installé par un administrateur système [admin] et configuré par un membre du groupe de gestionnaires App-Sec. Consultez Réponse aux vulnérabilités des applications Groupes et rôles d’utilisateurs pour plus d'informations.

    Veracode Vulnerability Integration

    Pour afficher les intégrations de Veracode vulnérabilité, accédez à Tous > Intégration de vulnérabilité Veracode > Intégrations.

    Les intégrations suivantes sont incluses dans le système de base.

    Tableau 1. Veracode Vulnerability Integration
    Intégration Description
    À partir de la version 4.1 : Veracode Projets Link Intégration Cette intégration est activée par défaut. Récupère tous les projets associés pour chaque application à partir de Veracode.
    Les applications peuvent avoir plusieurs projets dans l’application Veracode . Les données importées de cette intégration sont affichées dans les enregistrements suivants :
    • La date de la dernière analyse SCA, la date de création de l’application et la date de mise à jour de l’application sont répertoriées dans les enregistrements dans les applications détectées.
    • Sur les enregistrements de synthèse de numérisation de vulnérabilité de l’application et les éléments vulnérables de l’application (AVIT), l’état SDLC (cycle de vie du développement logiciel) source s’affiche.
    • L’exploitabilité de la source est affichée sur les enregistrements d’éléments vulnérables d’applications (AVI).
    Veracode Intégration de la liste des applications (JSON) Cette intégration est désactivée par défaut. Récupère les données de l’analyseur d’application (vulnérabilités, métadonnées) et enrichit Veracode vos données d’application.

    Récupère les enregistrements d’analyse Veracode via une API basée sur JSON.
    Veracode Intégration de liste d’applications (XML) Cette intégration est désactivée par défaut. La version XML de cette intégration a été désactivée (déconseillée). Récupère les données de l’analyseur d’application (vulnérabilités, métadonnées) et enrichit Veracode vos données d’application. Cette intégration est définie pour s’exécuter quotidiennement à 00:00:00.
    Remarque :
    Une API Veracode basée sur JSON est utilisée pour récupérer la liste des applications. Cette API importe la « date de dernière vérification de conformité de politique » pour ces applications, c’est-à-dire la date de la dernière analyse de ces applications par Veracode.
    Veracode Nomenclature logicielle (SBOM) Intégration
    La version 4.3 de la Veracode Vulnerability Integration comprend les améliorations suivantes avec Veracode SBOM les fichiers :
    • Si vous avez installé SBOM Response, vous avez la possibilité d’inclure les vulnérabilités trouvées par Veracode pour les fichiers SBOM que vous chargez.
    • Veracode est mappé au champ Source pour les enregistrements de la table Nomenclature [sn_sbom_doc] pour les Veracode fichiers SBOM.

    Cette intégration est activée par défaut. À partir de la version 4.2, importe Nomenclature logicielle les fichiers aux formats CycloneDX et SPDX générés par Veracode et les met en file d’attente pour analyse dans votre instance. Vous devez avoir installé les Nomenclature logicielle applications pour importer ces données et les afficher.
    Veracode Intégration de la synthèse de l’analyse (JSON)

    Cette intégration est désactivée par défaut. Récupère les enregistrements d’analyse Veracode via une API basée sur JSON. Cette intégration remplace l’intégration d’API basée sur XML. Il est enchaîné et suit l’intégration de la liste d’applications lorsqu’il Veracode est activé.
    Veracode Synthèse de l’analyse (XML)

    Cette intégration est désactivée par défaut. La version XML de cette intégration a été désactivée (déconseillée). Récupère les enregistrements d’analyse à partir de Veracode. Cette intégration est enchaînée et suit l’intégration de la liste d’applications lorsqu’elle Veracode est activée.

    Remarque :
    Suit automatiquement l’intégration de la liste d’applications Veracode lorsqu’elle est activée. Avec la « date de dernière vérification de conformité de politique » pour les applications de Veracode, cette intégration récupère uniquement les données des applications qui ont été analysées après la « delta_start_time » de cette intégration.
    Veracode Intégration JSON d’élément vulnérable d’application

    À partir de la version 4.2, affichez des détails tels que les temps de traitement totaux, les temps moyens des processus avant et après l’exécution de l’intégration, ainsi que les rapports sur les enregistrements d’exécution de l’intégration pour les intégrations d’éléments vulnérables d’application.

    Cette intégration est désactivée par défaut. Récupère les résultats de l’analyse contenant plus de données de vulnérabilité que l’intégration XML de Veracode. Il insère des AVI et enrichit vos données de vulnérabilité tierces.
    Veracode Intégration d’éléments vulnérables d’applications (XML)

    À partir de la version 4.2, affichez des détails tels que les temps de traitement totaux, les temps moyens des processus avant et après l’exécution de l’intégration, ainsi que les rapports sur les enregistrements d’exécution de l’intégration pour les intégrations d’éléments vulnérables d’application.

    Cette intégration est désactivée par défaut. Récupère les résultats de l’analyse de Veracode, insère des éléments vulnérables d’application (AVIT) et enrichit vos données de vulnérabilité tierces. Par défaut, si l’enregistrement du scanner est à l’état Fermé , les AVIT ne sont pas créés. Les AVIT existants sont toujours à jour.

    Cette intégration est enchaînée et suit l’intégration du résumé de l’analyse lorsqu’elle Veracode est activée. L’API XML est déconseillée pour l’intégration JSON du résumé de l’analyse Veracode .

    Remarque :
    Suit automatiquement l’intégration du résumé de l’analyse Veracode . Avec la « date de dernière vérification de conformité de politique » pour les applications de Veracode, cette intégration récupère uniquement les données des applications qui ont été analysées après la « delta_start_time » de cette intégration.
    Veracode Intégration de catégories Cette intégration est désactivée par défaut. Récupère les données de catégories améliorées à partir de Veracode.
    Veracode Intégration CWE

    Cette intégration est activée par défaut. Récupère des données CWE (Common Weakness Enumeration) spécifiques pour obtenir des informations sur les menaces et des Veracode recommandations de remédiation. Ces données sont renseignées et mises à jour dans les enregistrements d’entrée de vulnérabilité de l’application.

    Cette intégration CWE fonctionne indépendamment du travail planifié pour l’intégration CWE Comprehensive 2000 que vous activez pour l’application Réponse aux vulnérabilités .

    Vos données ne sont pas dupliquées si vous avez activé l’intégration Veracode CWE et l’intégration complète CWE 2000.
    Veracode Intégration DevOps Cette intégration est désactivée par défaut. L’intégration est visible dans la liste Intégrations de vulnérabilité de l’application dans Réponse aux vulnérabilités des applications. Si vous disposez d’une licence DevOps Change Velocity, cette fonctionnalité est structurée de manière à ce que les utilisateurs DevOps n’aient pas besoin d’une licence SecOps pour afficher les détails récapitulatifs des analyses de vulnérabilité tierces. Il n’y a aucun impact ni changement pour Réponse aux vulnérabilités des applications.

    Pour les états d’exécution de l’intégration, Afficher l’état de l’exécution de l’importation de l’intégration de vulnérabilité de l’application Veracode consultez .

    Pour afficher les données dans les vulnérabilités tierces, reportez-vous à .Afficher les bibliothèques de vulnérabilité