Veracode Vulnerability Integration

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 7분

    • 애플리케이션과의 Veracode 통합은 취약성 대응 제품에서 Veracode 임포트한 데이터를 사용하여 코드에서 결함의 영향과 우선순위를 확인하는 데 도움을 줍니다.

    Veracode Vulnerability Integration

    Veracode 제품은 DAST(동적 애플리케이션 보안 테스트), SAST(정적 애플리케이션 보안 테스트) 및 수동 스캐너 데이터를 수집하고 해당 데이터를 에서 사용할 수 있도록 ServiceNow AI Platform®합니다. 인스턴스의 애플리케이션 취약성 대응 데이터를 보강하는 타사 취약성을 매핑하는 기능과 취약성 대응 쉽게 통합됩니다.

    취약성 대응v19.0부터 소프트웨어 애플리케이션의 약점을 식별하는 데 도움이 되는 SCA(소프트웨어 구성 분석) 취약성 및 소프트웨어 자재 명세서 (SBOM) 취약성 데이터를 가져올 수 있습니다. 자세한 내용은 소프트웨어 자재 명세서 탐색 문서를 참조하십시오.

    공유 API는 DAST, SAST, SCA 데이터 및 수동 침투 테스트 결과를 수집합니다.

    각 통합 기록에 대해 구성된 실행 사용자가 있습니다. 이 사용자의 기본값은 VR입니다. 시스템. 이 값은 변경하지 마십시오.

    매일 예약된 작업은 나열된 순서대로 통합을 자동으로 호출합니다. 예약된 개별 작업을 수동으로 실행할 수도 있습니다. 예약된 작업은 인스턴스를 다른 취약성 관리 시스템과 동기화된 상태로 유지하여 취약성 정정 수명주기를 단순화합니다.

    자세한 내용은 다음을 참조하십시오. Veracode

    v4.2부터는 애플리케이션 취약 항목 [sn_vul_app_vulnerable_item] 테이블에서 소스로 있는 Veracode 애플리케이션 취약 항목(AVIT)에 대한 자세한 정보 가져오기를 선택하거나 취약성 대응 작업 공간의 목록 뷰에서 다음 데이터를 봅니다Veracode.

    • 동적 애플리케이션 보안 테스트(DAST) 스캔에 대한 HTTP 소스 요청 및 소스 응답 상세 정보가 HTTP 요청/응답 관련 목록에 표시됩니다.
    • Veracode 솔루션 권장 사항이 결과 관련 목록에 표시됩니다.
    • HTTP 소스 요청, 소스 응답 및 권장 사항이 취약성 대응 취약성 대응 작업 공간의 상세 정보 탭에 표시됩니다.
    • 설명 열은 애플리케이션 취약한 항목 [sn_vul_app_vulnerable_item] 테이블에서 지원됩니다.

    사용 가능한 버전

    릴리스 버전 릴리스 정보
    에 호환 USEM(통합 보안 노출 관리)되는 버전으로 업그레이드하려면 설치 또는 업그레이드 시 30.x로 시작하는 버전을 선택하십시오. Application Vulnerability Response release notes

    호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경을 참조하십시오.
    호환되는 버전 USEM(통합 보안 노출 관리)으로 업그레이드하지 않으려면 설치 또는 업그레이드 시 30.x 미만의 버전을 선택하십시오.

    사용자 그룹 및 역할

    Veracode Vulnerability Integration 시스템 관리자 [admin]가 설치하고 App-Sec 관리자 그룹의 구성원이 구성합니다. 자세한 내용은 애플리케이션 취약성 대응 사용자 그룹 및 역할 문서를 참조하십시오.

    Veracode Vulnerability Integration

    취약성 통합을 Veracode 보려면 다음으로 이동하십시오. 모두 > Veracode Vulnerability Integration > 통합.

    기본 시스템에는 다음과 같은 통합이 포함됩니다.

    표 1. Veracode Vulnerability Integration
    통합 설명
    v4.1부터: Veracode 프로젝트 연결 통합 이 통합은 기본적으로 활성화됩니다. 에서 각 애플리케이션에 대한 모든 연결된 프로젝트를 검색합니다 Veracode.
    애플리케이션에는 애플리케이션에 여러 프로젝트가 있을 수 있습니다.Veracode 이 통합에서 임포트한 데이터는 다음 기록에 표시됩니다.
    • 마지막 SCA 검사 날짜, 앱 생성 날짜앱 업데이트 날짜검색된 애플리케이션의 기록에 나열됩니다.
    • 애플리케이션 취약성 검사 요약 기록 및 애플리케이션 취약 항목(AVIT)에 소스 SDLC 상태 (소프트웨어 개발 수명 주기)가 표시됩니다.
    • 소스 악용 가능성이 애플리케이션 취약한 항목(AVI) 기록에 표시됩니다.
    Veracode 애플리케이션 목록 통합(JSON) 이 통합은 기본적으로 비활성 상태입니다. 애플리케이션 스캐너 데이터(취약성, 메타데이터)를 검색 Veracode 하고 애플리케이션 데이터를 보강합니다.

    JSON 기반 API를 통해 스캔 기록 Veracode 을 검색합니다.
    Veracode 애플리케이션 목록 통합(XML) 이 통합은 기본적으로 비활성 상태입니다. 이 통합의 XML 기반 버전이 비활성화되었습니다(사용되지 않음). 애플리케이션 스캐너 데이터(취약성, 메타데이터)를 검색 Veracode 하고 애플리케이션 데이터를 보강합니다. 이 통합은 매일 00:00:00에 실행되도록 설정됩니다.
    주:
    JSON 기반 API Veracode 는 애플리케이션 목록을 검색하는 데 사용됩니다. 이 API는 이러한 애플리케이션에 대한 "마지막 정책 준수 확인 날짜"를 임포트하며, 이는 이 애플리케이션이 이러한 애플리케이션을 마지막으로 스캔한 Veracode시기를 나타냅니다.
    Veracode 소프트웨어 자재 명세서 (SBOM) 통합
    버전 4.3 Veracode Vulnerability Integration 에는 다음과 같은 파일 개선 사항이 Veracode SBOM 포함되어 있습니다.
    • SBOM 응답을 설치한 경우 업로드하는 SBOM 파일에 대해 발견 Veracode 된 취약성을 포함할 수 있습니다.
    • Veracode 은(는) SBOM 파일에 대한 BOM [sn_sbom_doc] 테이블에 있는 기록의 소스 필드에 Veracode 매핑됩니다.

    이 통합은 기본적으로 활성화됩니다. v4.2부터는 CycloneDX 및 SPDX 형식 Veracode 의 파일을 가져오 소프트웨어 자재 명세서 고 인스턴스에서 구문 분석할 수 있도록 대기열에 넣습니다. 이 데이터를 임포트하고 보려면 애플리케이션이 소프트웨어 자재 명세서 설치되어 있어야 합니다.
    Veracode 검사 요약 통합(JSON)

    이 통합은 기본적으로 비활성 상태입니다. JSON 기반 API를 통해 스캔 기록 Veracode 을 검색합니다. 이 통합은 XML 기반 API 통합을 대체합니다. 이 플러그인은 체인으로 연결되며 활성화되면 애플리케이션 목록 통합을 Veracode 따릅니다.
    Veracode 검사 요약(XML)

    이 통합은 기본적으로 비활성 상태입니다. 이 통합의 XML 기반 버전이 비활성화되었습니다(사용되지 않음). 에서 스캔 기록을 검색합니다 Veracode. 이 통합은 체인으로 연결되며 활성화되면 애플리케이션 목록 통합을 Veracode 따릅니다.

    주:
    애플리케이션 목록 통합이 Veracode 활성화되면 자동으로 이를 따릅니다. 의 애플리케이션 Veracode에 대한 "마지막 정책 준수 확인 날짜"를 사용하여 이 통합은 이 통합의 "delta_start_time" 이후에 스캔된 애플리케이션에 대한 데이터만 검색합니다.
    Veracode 애플리케이션 취약한 항목 JSON 통합

    v4.2부터는 총 처리 시간, 통합 실행 전후 프로세스의 평균 시간, 애플리케이션 취약한 항목 통합을 위한 통합 실행 기록에 대한 보고서와 같은 상세 정보를 볼 수 있습니다.

    이 통합은 기본적으로 비활성 상태입니다. 에서 XML 기반 통합 Veracode보다 취약성 데이터가 더 많은 스캔 결과를 검색합니다. AVI를 삽입하고 타사 취약성 데이터를 보강합니다.
    Veracode 애플리케이션 취약한 항목 통합(XML)

    v4.2부터는 총 처리 시간, 통합 실행 전후 프로세스의 평균 시간, 애플리케이션 취약한 항목 통합을 위한 통합 실행 기록에 대한 보고서와 같은 상세 정보를 볼 수 있습니다.

    이 통합은 기본적으로 비활성 상태입니다. 에서 Veracode검사 결과를 검색하고, 애플리케이션 취약 항목(AVIT)을 삽입하고, 타사 취약성 데이터를 보강합니다. 기본적으로 스캐너 기록이 종결 상태이면 AVIT가 생성되지 않습니다. 기존 AVIT는 여전히 업데이트 상태입니다.

    이 통합은 체인으로 연결되며 활성화되면 검사 요약 통합을 Veracode 따릅니다. XML 기반 API는 검사 요약 JSON 통합에서 Veracode 사용되지 않습니다.

    주:
    검사 요약 통합을 Veracode 자동으로 따릅니다. 의 애플리케이션 Veracode에 대한 "마지막 정책 준수 확인 날짜"를 사용하여 이 통합은 이 통합의 "delta_start_time" 이후에 스캔된 애플리케이션에 대한 데이터만 검색합니다.
    Veracode 범주 통합 이 통합은 기본적으로 비활성 상태입니다. 에서 향상된 범주 데이터를 검색합니다 Veracode.
    Veracode CWE 통합

    이 통합은 기본적으로 활성화됩니다. 위협 정보 및 정정 권장 사항에 대한 특정 CWE(일반 약점 열거형) 데이터를 검색 Veracode 합니다. 이러한 데이터는 애플리케이션 취약성 항목 기록에 채워지고 업데이트됩니다.

    이 CWE 통합은 애플리케이션에 대해 취약성 대응 활성화하는 CWE Comprehensive 2000 통합의 예약된 작업과는 독립적으로 작동합니다.

    CWE 통합 및 CWE Comprehensive 2000 통합이 활성화된 경우 Veracode 데이터가 복제되지 않습니다.
    Veracode DevOps 통합 이 통합은 기본적으로 비활성 상태입니다. 통합은 의 애플리케이션 취약성 통합 목록에서 애플리케이션 취약성 대응볼 수 있습니다. DevOps Change Velocity 라이선스가 있는 경우 이 기능은 DevOps 사용자가 외부 공급업체 취약성 검사에 대한 요약 상세 정보를 보기 위해 SecOps 라이선스가 필요하지 않도록 구성됩니다. 에 대한 영향이나 변경 사항이 없습니다.애플리케이션 취약성 대응

    통합 실행 상태는 다음 애플리케이션 취약성 통합 임포트 실행 상태 보기 Veracode문서를 참조하십시오.

    타사 취약성의 데이터를 보려면 다음 문서를 참조하십시오 취약성 라이브러리 보기.