GitHub アプリケーション脆弱性統合の構成

  • リリースバージョン: Australia
  • 更新日 2026年04月30日
  • 所要時間:7分

    • インスタンスで統合を実行する前に、インストールと構成のステップを完了して、アプリケーション脆弱性対応が GitHub 製品と適切に統合されるようにします。このアプリケーションは別のサブスクリプションとして利用できます。

    始める前に

    必要なロール:
    • アプリセキュリティマネージャーグループ
    • OAuth の設定に必要な sn_vul.app_sec_manager

    手順

    1. 移動先 すべて > GitHub 脆弱性統合 > 設定.
    2. 認証タイプに [ベーシック認証 ] または [OAuth ] を選択します。
    3. 選択したタイプに基づいてフィールドに入力します。
      ベーシック認証を選択した場合。
      フィールド 説明
      API URL Enterprise またはオンプレミスの適切な GitHub API URL。デフォルトの URL は https://api.github.com です。オンプレミスは GitHub エンドポイント URL です。
      API トークン GitHub コンソールから生成したトークン。
      API タイプ 1 つ選択:
      組織
      特定の組織のデータを名前でインポートする場合は、このオプションを選択します。GitHub 環境は複数の組織をサポートしています。各組織は複数のリポジトリをサポートできます。組織を入力すると、その組織のデータのみがインポートされます。
      Enterprise
      Enterprise 環境は複数の組織をサポートしています。Enterprise (クラウド) 環境内のすべての組織から脆弱性データをインポートする場合は、このオプションを選択します。
      エンタープライズ名 ( API タイプにエンタープライズを選択した場合)。 エンタープライズ環境の名前。環境によっては、複数の組織がサポートされている場合があります。

      エンタープライズ モード (api_type = 2) では、組織統合は /enterprises/{enterprise_name}/orgs とリポジトリによってリストされるため、最初に実行され、次に返されるすべての組織にファンアウトされるためです。アプリケーション脆弱性対応 (AVR) スケジューラーは、デフォルトでこのアクションを自動的に処理します。

      注:
      この値を明確にするために、[エンタープライズ名] フィールドにロールオーバーヒントが表示されます。 GitHub コンソール内にあるエンタープライズの名前。このフィールドは認証情報の検証には使用されません。
      組織名 ( API タイプとして [組織] を選択した場合)。 GitHub リポジトリの名前。入力した組織のデータのみがインポートされます。

      組織モード (api_type = 1) では、リポジトリ統合は /orgs/{organisation_name}/repos によって直接インポートされ、組織統合はメタデータの更新としてのみ実行され、実行順序は重要ではありません。
      MID サーバー ベーシック認証のオンプレミスインスタンス用の MID サーバーが必要です。
      ServiceNowでの汎用シークレットの管理 アプリケーション脆弱性一致アイテム (AVI) の通常のシークレットとともに汎用シークレットをインポートするには、このオプションをアクティブ化します。
      例外管理と誤検出を管理するには、オプションを選択します。

      インポート時に自動的に ServiceNow ワークフローを使用して、アプリケーション脆弱性一致アイテム (AVI) の例外管理と誤検出を管理するためのオプションを選択します。

      ServiceNow での例外の管理
      [保留]ステータスとしてマークされたインポート済み AVI をトリアージする場合は、このオプションを有効のままにします。

      通常はインスタンスで [保留] 状況にマッピングされる [ソース] 状況を持つ AVI は、代わりに [オープン] にマッピングされます。

      AVI レコードから例外を要求します。

      ServiceNow での誤検出の管理
      インポートされた AVI を [ソース]状況が誤検出または潜在的な誤検出としてマークされている状態でトリアージする場合は、このオプションを有効のままにします。

      通常はインスタンスで [ソース] 状況にマッピングされる [クローズ済み] 状況を持つ AVI は、代わりに [オープン] にマッピングされます。

      AVI レコードから誤検出を要求します。
      • スキャナーからインポートされた [ソース] ステータスを保持する場合は、いずれかまたは両方のチェックボックスをオフにします。
      • 非アクティブにすると、例外の要求誤検出アクションは、AVI には表示されません。
      統合インスタンス データをインポートするインスタンス。

      [OAuth] を選択した場合。

      フィールド 説明
      API URL Enterprise またはオンプレミスの適切な GitHub API URL。デフォルトの URL は https://api.github.com です。オンプレミスは GitHub エンドポイント URL です。
      接続 作成した接続は「GitHub アプリの OAuth 2.0 認証情報の作成 - GitHub アプリケーション脆弱性統合 用の JWT」に記載されています。
      API タイプ 読み取り専用
      注:

      Oauth が選択されている場合、エンタープライズ API タイプは GitHub アプリの認証方法としてサポートされません。

      1 つ選択:
      組織名 GitHub リポジトリの組織名。入力した組織内のリポジトリからのデータのみがインポートされます。
      ServiceNowでの汎用シークレットの管理 アプリケーション脆弱性一致アイテム (AVI) の通常のシークレットとともに汎用シークレットをインポートするには、このオプションをアクティブ化します。
      例外管理と誤検出を管理するには、オプションを選択します。

      インポート時に自動的に ServiceNow ワークフローを使用して、アプリケーション脆弱性一致アイテム (AVI) の例外管理と誤検出を管理するためのオプションを選択します。

      ServiceNow での例外の管理
      [保留]ステータスとしてマークされたインポート済み AVI をトリアージする場合は、このオプションを有効のままにします。

      通常はインスタンスで [保留] 状況にマッピングされる [ソース] 状況を持つ AVI は、代わりに [オープン] にマッピングされます。

      AVI レコードから例外を要求します。

      ServiceNow での誤検出の管理
      インポートされた AVI を [ソース]状況が誤検出または潜在的な誤検出としてマークされている状態でトリアージする場合は、このオプションを有効のままにします。

      通常はインスタンスで [ソース] 状況にマッピングされる [クローズ済み] 状況を持つ AVI は、代わりに [オープン] にマッピングされます。

      AVI レコードから誤検出を要求します。
      • スキャナーからインポートされた [ソース] ステータスを保持する場合は、いずれかまたは両方のチェックボックスをオフにします。
      • 非アクティブにすると、例外の要求誤検出アクションは、AVI には表示されません。
    4. [認証情報を保存してテスト] を選択します。
      注:
      統合を実行する前に、スケジュール済みスクリプト「スキャンタイプを汎用シークレットにマーク」が正常に完了したことを確認します。このスクリプトは、完了するまで 5 分ごとに実行されるように設定されています。完了したら、実行設定が [ オンデマンド] に設定されていることを確認します。そうでない場合は、システムログでエラーを確認します。
    5. [API タイプ] で選択した内容に応じて、いずれかを選択します。
      オプション説明
      エンタープライズ API タイプを選択した場合は、他の統合を実行する前に GitHub 組織統合を実行します。 最初に組織統合を実行してエンタープライズのすべての組織をインポートし (該当する場合)、他の統合を実行する前にリポジトリ統合を実行する必要があります。他の GitHub 統合は、リポジトリ統合からインポートされた現在のアプリケーションデータに依存します。
      組織 API タイプを選択した場合は、他の統合を実行する前に GitHub リポジトリ統合を実行します。 他の GitHub 統合は、リポジトリ統合からインポートされた現在のアプリケーションデータに依存します。
      統合はデフォルトでアクティブ化されています。統合を非アクティブ化し、統合レコードから統合の実行をスケジュールできます。
    6. 統合をスケジュールし、開始時間を設定または非アクティブ化するには、次に移動します すべて > GitHub 脆弱性統合 > 統合.
    7. [名前] 列の リンク を選択してレコードを開き、開始時間を設定します。
      編集中の統合が正常に完了した後に実行する次の統合を選択できます。オンデマンドで統合を開始するには、[ 今すぐ実行] を選択します。
    8. オプション: 詳細については、「GitHub アプリケーション脆弱性統合 インポートの実行ステータスとインポートされたリポジトリデータを表示する」を参照してください。