Identifie les applications activées sur votre instance dont les versions ont été mises à jour disponibles.

Vérifiez que vous utilisez les versions les plus récentes des applications du magasin, qui peuvent inclure des correctifs pour des problèmes de sécurité potentiels.

Identifie les scripts qui sont directement invoquables par les utilisateurs finaux (tels que les includes de script pouvant être appelés par le client, les widgets, les processeurs, les points de terminaison REST)

Ces scripts doivent respecter les ACL et utiliser GlideRecordSecure ou GlideRecord avec canRead, canWrite, canCreate, canDelete.

Identifie les scripts dans lesquels le contrôle d’accès au contenu JavaScript est utilisé pour autoriser ou refuser des bibliothèques JavaScript tierces spécifiques.

Examinez les personnalisations des instances pour vérifier que les bibliothèques ne sont pas utilisées avant de bloquer l’accès. La table Suivi de l’accès au fournisseur de contenu JavaScript [sys_js_content_provider_access_tracking] peut être consultée pour voir la date du dernier accès à la bibliothèque.

Identifie les includes de script de client pouvant être appelés qui n’ont pas d’ACL correspondante. Ces scripts utilisent l’ACL d’include de script du client par défaut (« * »).

Pour ces scripts, créez des ACL qui définissent les critères d’accès appropriés afin de vérifier que seuls les utilisateurs attendus peuvent interagir avec la fonctionnalité fournie.

Identifie les créateurs d’enregistrements qui n’ont pas de validation côté serveur supplémentaire. Cette vérification identifie les tables personnalisées avec un créateur d’enregistrement, mais sans règle métier associée.

Ceux-ci peuvent permettre aux utilisateurs de soumettre des données inattendues dans la table associée.

Identifie les enregistrements ACL qui n’ont pas de script, de condition, d’attribut de sécurité ou de rôle, ou les ACL ayant le rôle public .

Si vous laissez les ACL vides ou utilisez le rôle public , vous accédez librement à tout contenu protégé par cette ACL.

Identifie les champs HTML dans lesquels l’assainissement HTML est inactif.

L’assainissement HTML supprime ou remplace les éléments et attributs potentiellement dangereux dans le code HTML. Vérifiez les champs HTML où l’assainissement est inactif pour confirmer si cette configuration est nécessaire.

Identifie les modules d’extension qui ne sont pas activés et qui fournissent des contrôles de sécurité supplémentaires configurables. Les résultats de cette vérification sont fournis à titre informatif.

Avant d’activer l’un des modules d’extension identifiés, vérifiez que le module d’extension répond à vos cas d’utilisation ou exigences. Vous pouvez désactiver ces résultats si vous n’avez pas de cas d’utilisation pour l’élément identifié.

Identifie les plages de contrôle d’accès aux adresses IP qui contiennent un grand nombre d’adresses IP.

Vérifiez et confirmez que la configuration actuelle correspond aux besoins de votre entreprise.

Identifie les schémas GraphQL publics dans la table API GraphQL [sys_graphql_schema].

Ces schémas peuvent être configurés pour être disponibles sans authentification. Selon la fonctionnalité du point de terminaison, cela peut permettre à des utilisateurs non authentifiés d’effectuer des actions inattendues ou d’interagir avec des données inattendues.

Identifie les bases de connaissances et les articles de la base de connaissances configurés pour permettre l’accès aux utilisateurs non authentifiés.

Vérifiez et confirmez que la configuration actuelle correspond aux besoins de votre entreprise.

Identifie les points de terminaison REST API dans la table Ressource REST scriptée [sys_ws_operation] qui sont configurés pour être disponibles sans authentification.

Selon la fonctionnalité du point de terminaison, cela peut permettre à des utilisateurs non authentifiés d’effectuer des actions inattendues ou d’interagir avec des données inattendues.

Identifie les pages de Portail de services qui sont rendues publiques. Les pages du portail de services sont mises à la disposition des utilisateurs non authentifiés en définissant le champ « public » sur « vrai ».

Vérifiez et confirmez que la configuration actuelle correspond aux besoins de votre entreprise.

Identifie les pages de l’interface utilisateur qui sont rendues publiques. Les pages de l'interface utilisateur peuvent être mises à la disposition des utilisateurs non authentifiés à l'aide de la page [sys_public].

Vérifiez et confirmez que la configuration actuelle correspond aux besoins de votre entreprise.

Identifie tous les rôles (table Rôles [sys_user_role]) qui contiennent le rôle administrateur .

Le rôle administrateur accorde aux utilisateurs des privilèges administratifs et ne doit être utilisé que lorsque cela est nécessaire. Vérifiez et confirmez que la configuration actuelle correspond aux besoins de votre entreprise. S’il s’agit d’une configuration intentionnelle, cette vérification peut être désactivée.

Identifie les pages de l’interface utilisateur qui n’ont pas d’ACL pour cette page de l’interface utilisateur.

Les pages de l’interface utilisateur qui n’ont pas d’ACL spécifique sont par défaut une ACL de page d’interface utilisateur générique, ce qui peut accorder l’accès à des utilisateurs non prévus.

Identifie les utilisateurs avec des mots de passe définis localement.

Les utilisateurs avec des mots de passe locaux peuvent interagir avec l’instance via des API à l’aide des informations d’identification locales, même si les connexions locales ne sont pas autorisées. Cette configuration de mot de passe est nécessaire pour que les comptes d’utilisateurs d’intégration fonctionnent correctement.

Examinez ces comptes d’utilisateurs pour vérifier que seuls les utilisateurs prévus (tels que les comptes d’intégration) peuvent s’authentifier à l’aide de l’authentification locale.

Identifie les comptes d’utilisateurs avec des mots de passe créés dans les versions précédentes de , ServiceNow AI Platform qui ont peut-être utilisé ce qui est maintenant considéré comme un algorithme de hachage hérité ou obsolète.

Les comptes créés sur les anciennes versions de la plateforme qui n’ont pas fait l’objet d’une rotation des mots de passe peuvent toujours avoir des mots de passe stockés avec un algorithme de hachage hérité. Examinez les comptes identifiés créés, envisagez de réinitialiser le mot de passe.

Identifie les créateurs d’enregistrements non sécurisés.

Si elles ne sont pas affectées aux rôles appropriés, les utilisateurs non autorisés peuvent y accéder, ce qui peut révéler des informations sensibles. Affectez les rôles appropriés aux créateurs d’enregistrements afin de vérifier qu’ils ne sont accessibles qu’aux utilisateurs qui en ont besoin.