Configurez la Intégration de Réponse aux vulnérabilités avec Black Duck.

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Avant d’exécuter la Intégration de Réponse aux vulnérabilités avec Black Duck sur votre instance, vous devez effectuer les étapes d’installation et de configuration afin que l’outil Analyse de la composition logicielle (SCA) Black Duck s’intègre correctement à l’application Réponse aux vulnérabilités des applications .

    Avant de commencer

    Rôle requis : groupe d’utilisateurs du gestionnaire App-Sec

    Pourquoi et quand exécuter cette tâche

    Le Intégration de Réponse aux vulnérabilités avec Black Duck est disponible sous forme d’abonnement distinct.

    Procédure

    1. Accédez à la Tout > Intégration de Vulnérabilité Blackduck > Configuration.
    2. Sélectionnez le type d’authentification de base.
      L’authentification de base nécessite un Pour Serveur MID les instances locales. Vous pouvez générer le jeton d’API requis pour l’authentification de base à partir de votre compte Black Duck.
    3. Renseignez les champs du formulaire.
      Authentification de base
      Champ Description
      URL D'API URL de l’API Black Duck pour les instances d’entreprise ou locales. L’instance locale est l’URL de votre point de terminaison Black Duck.
      Jeton d'API Jeton que vous avez généré à partir de votre console Black Duck.
      Serveur MID Serveur MID requis pour les instances locales pour l’authentification de base.
      Inclure SCA Vulnérabilités des analyses de composition logicielle (SCA) incluses par défaut. Les analyses SCA identifient les vulnérabilités dans les composants open source.
      Sélectionner l’option pour gérer les faux positifs dans ServiceNow ServiceNow Option de gestion des faux positifs. Laissez cette option activée si vous souhaitez trier les éléments vulnérables de l’application (AVI) importés avec les états de source qui sont marqués comme faux positif ou faux positif potentiel.

      Les AVI avec ces états source , qui sont normalement mappés à un état Fermé dans votre instance, sont mappés à Ouvert.

      Vous pouvez demander un faux positif à partir de l’enregistrement AVI.
      • Désactivez l’une ou les deux options si vous souhaitez conserver les états source qui ont été importés à partir de votre scanner.
      • Si cette option est désactivée, les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVI.
      Instance d'intégration Instance que vous utilisez pour importer les données.
    4. Sélectionnez Enregistrer et tester les informations d’identification.
    5. Exécutez l’intégration de la liste des projets Black Duck avant d’exécuter d’autres intégrations.
      Les autres intégrations de Black Duck, telles que l’intégration de la liste des applications Black Duck et l’intégration des éléments vulnérables des applications Black Duck, dépendent des données du projet et de l’application actuelles que vous avez importées à partir de l’intégration de la liste des projets.