Explorer Réponse aux vulnérabilités des applications

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 9 minutes de lecture

    • Les vulnérabilités d’application sont des vulnérabilités de vos applications logicielles personnalisées qui sont analysées tout au long du cycle de vie de développement de l’application.

    Vue d’ensemble et Réponse aux vulnérabilités des applications versions disponibles

    Réponse aux vulnérabilités des applications (AVR) est la partie de l’application qui traite les Réponse aux vulnérabilités vulnérabilités des applications.

    Tableau 1. Versions disponibles
    Version Notes de publication

    Réponse aux vulnérabilités version 23.0

    Réponse aux vulnérabilités version 22.0

    Réponse aux vulnérabilités version 21.0

    Réponse aux vulnérabilités version 20.0

    Réponse aux vulnérabilités version 19.0

    Réponse aux vulnérabilités v18.2

    		 Application Vulnerability Response release notes

    Pour plus d’informations sur la compatibilité, consultez KB0856498 Changements apportés à la matrice de compatibilité de Réponse aux vulnérabilités et au schéma de mise en production

    Fonctionnement

    Les données de vulnérabilité sont importées de sources internes et externes, telles que Common Weakness Enumeration (CWE) ou d’intégrations tierces. Une fois les données importées, elles sont comparées aux données de l’application dans votre Base de données de gestion des configurations (CMDB) et traitées dans l’application Réponse aux vulnérabilités des applications . Si une correspondance existe entre les données de vulnérabilité de l’application importées et les données de votre CMDB, un élément vulnérable de l’application (AVIT) est créé.

    Le Réponse aux vulnérabilités des applications comprend les fonctionnalités clés suivantes :
    • Intégrez avec des analyseurs tiers pris en charge pour importer des données de vulnérabilité.
    • Comparez les données liées aux vulnérabilités des applications et déterminez si des vulnérabilités d’application sont détectées dans une application.
    • Hiérarchiser, corriger et gérer les éléments vulnérables des applications (AVIT). Chaque vulnérabilité d’application représente une entrée de vulnérabilité dans les bibliothèques CWE ou tierces.
    • À partir de la version 18.0 de Réponse aux vulnérabilités, vous pouvez surveiller et corriger les AVIT dans le Espace de travail du gestionnaire de vulnérabilités et Espace de travail de remédiation IT respectivement. Pour plus d'informations, consultez Espace de travail du gestionnaire de vulnérabilités et Espace de travail de remédiation IT.
    • Corrélez Réponse aux vulnérabilités des applications les données à l’aide de calculateurs et de bibliothèques pour vous aider à effectuer les tâches suivantes.
      • Créez automatiquement des éléments vulnérables d’applications à l’aide des règles de recherche de CI. Lors de l’importation, des vulnérabilités tierces sont associées à une CWE pour créer un AVIT.
      • Créez des règles d’affectation pour automatiser les affectations d’éléments vulnérables d’application.
      • Utilisez des groupes de calculateurs pour déterminer l’impact sur l’entreprise, spécifier des conditions variables à l’aide de filtres, appliquer des calculs simples ou utiliser un script.
      • Créez des règles de cibles de rattrapage qui définissent le délai prévu pour le rattrapage des éléments vulnérables d’application afin de surveiller les activités de rattrapage à venir.
    • Associez une seule vulnérabilité tierce à plusieurs entrées CWE et trouvez la CWE principale pour une vulnérabilité afin de vous aider à déterminer le risque. Pour plus d’informations sur le CWE principal, reportez-vous à la section Champs de vulnérabilité de l’application.
    • Utilisez les enregistrements CWE téléchargés à partir de la base de données CWE ou importés à partir d’intégrations tierces comme référence pour vous aider à décider si vous devez escalader une vulnérabilité. Chaque enregistrement CWE comprend également un article de la base de connaissances associé qui décrit la faiblesse.

    Utilisez cette fonction Réponse aux vulnérabilités des applications pour suivre le flux d’informations, de l’intégration à l’enquête, puis à la résolution.

    Flux Application Vulnerability Response

    Types de données de vulnérabilité importées

    Réponse aux vulnérabilités des applications prend en charge les types suivants de données de vulnérabilité des applications importées.
    Remarque :
    Avant la version 19.0, les données des tests SAST, SCA, IAST et de pénétration n’étaient pas ingérées et peuvent expliquer les différences entre ce qui est affiché dans Veracode, Fortify et Invicti et ce qui apparaît dans Réponse aux vulnérabilités des applications.
    Test dynamique de sécurité des applications (DAST)
    Les analyses DAST recherchent les vulnérabilités des applications en envoyant des entrées à vos applications et en surveillant leurs réponses pendant leur exécution. Cette approche peut imiter une attaque extérieure. Lors de l’analyse dynamique, un service en cours d’exécution (URL) est analysé pour détecter les vulnérabilités. Les résultats de vulnérabilité incluent l’emplacement URL d’une vulnérabilité détectée.
    Test statique de sécurité des applications (SAST)
    Les analyses SAST examinent le code source des applications au repos et vous aident à trouver des vulnérabilités dans la façon dont vous avez écrit votre code. L’analyse SAST a lieu sur du code source non compilé et existe donc indépendamment de tout service d’application. Les résultats renvoyés comprennent l’emplacement du fichier et du numéro de ligne d’une vulnérabilité détectée.
    Test interactif de sécurité des applications (IAST)
    Les analyses IAST détectent les vulnérabilités logicielles en interagissant avec le programme pendant son exécution. L’observation humaine, les tests automatisés et les capteurs sont utilisés en combinaison pour interagir avec l’application afin de localiser les vulnérabilités.
    Analyse de la composition logicielle (SCA)
    À partir de la version 19.0 de , vous pouvez ingérer des vulnérabilités SCA Réponse aux vulnérabilités(Software Composition Analysis). Les données de vulnérabilité SCA vous aident à identifier les faiblesses des logiciels open source utilisés dans vos applications logicielles.
    Test de pénétration
    Vous configurez les demandes d’évaluation de test de pénétration pour Réponse aux vulnérabilités des applications vous aider à comprendre où se trouvent les faiblesses de votre application et ce que vous pouvez faire pour y remédier.
    Nomenclature logicielle
    Chargez Nomenclature logicielle (SBOM) des données pour identifier les vulnérabilités de vos composants open source. Consultez Explorer Nomenclature logicielle pour plus d'informations.

    Cas d'utilisation

    Certains des cas d’utilisation DAST suivants sont pris en charge :
    • Reliez chaque vulnérabilité des résultats de l’analyse à une sorte de cmdb_ci (classe enfant).
    • Associez les résultats de l’analyse DAST à une application existante lorsqu’il existe un enregistrement dans l’intégration d’origine CMDBDécouverte ou tierce.
    • Associez le résultat de l’analyse DAST à une application numérisée nouvellement insérée lorsqu’une nouvelle application n’a pas été préalablement identifiée et/ou stockée dans la CMDB.
    • Stocker les résultats de l’analyse DAST pour une CMDB lorsque vous gérez vos applications dans un produit autre que ServiceNow®.
    • Stockez les résultats de l’analyse DAST pour une CMDB si vous l’avez précédemment personnalisé à d’autres fins.
    • Créez manuellement une application pour le référentiel de code source.
    Certains des cas d’utilisation SAST pris en charge sont pris en charge :
    • Reliez chaque vulnérabilité des résultats de l’analyse à une sorte de cmdb_ci (classe enfant).
    • Créez manuellement un CI pour le référentiel de code source.
    • Stocker les résultats de l’analyse SAST qui sont sans service d’application associé.

    Intégrations tierces

    Les intégrations tierces prises en charge par Réponse aux vulnérabilités des applications sont disponibles en tant qu’applications distinctes dans le .ServiceNow Store Consultez Intégrer Réponse aux vulnérabilités des applications avec d'autres applications pour plus d'informations.

    Fonctionnalités principales

    Règles de recherche de CI
    Rechercher automatiquement des correspondances dans les données de l’application Base de données de gestion des configurations (CMDB).
    Règles d'affectation
    Affectez automatiquement les vulnérabilités d’application en fonction des groupes d’utilisateurs, des champs de groupe d’utilisateurs et des scripts.
    Calculateurs de risques
    Hiérarchisez et évaluez automatiquement l’impact des AVIT à l’aide de calculateurs, en fonction de n’importe quel critère, à l’aide de filtres de condition.
    Mappage de sévérité
    Calculez automatiquement les valeurs initiales des champs des éléments vulnérables de l’application. Les entrées de vulnérabilité ont à la fois une gravité source et une gravité normalisée (basée sur le mappage de gravité). La gravité est liée à Common Weakness Enumeration (CWE).
    Règles de cibles de remédiation
    Définissez le délai prévu pour le rattrapage d’un élément vulnérable de l’application.
    Reporting
    Obtenez rapidement un aperçu de votre posture de sécurité, des tendances en matière de remédiation et des 10 principales applications ou unités business comportant les AVIT les plus critiques.

    Le point commun des deux types d’analyse est la version de l’application. Une version de l’application, qui définit une chaîne de nom , est le point de connexion permettant de regrouper les résultats de vulnérabilité analysés du côté de l’analyseur. De cette façon, AVR sait à quelle version de l’application appartiennent les résultats lors de l’importation des résultats d’analyse via l’intégration.

    Une table enfant d’élément de configuration [cmdb_ci], Applications numérisées [sn_vul_app_scanned_application], a été créée dans l’application et le Réponse aux vulnérabilités périmètre. Cette table stocke l’abstraction de la version de l’application et fournit des graphiques de service via ses relations CMDB. Elles peuvent être visualisées à partir du Tous > Réponse aux vulnérabilités des applications > Administration > Applications module. La vue de liste Applications numérisées contient le département et le groupe de support ajoutés lors de la configuration.

    Éléments vulnérables de l’application (AVIT)

    Pour les vulnérabilités d’application, AVR associe une vulnérabilité à une application pour créer l’enregistrement de l’élément vulnérable de l’application (AVIT). En raison des multiples définitions de ce qui constitue une application dans la CMDB, Réponse aux vulnérabilités des applications limite les applications aux applications analysées. Les applications numérisées sont les applications analysées dans votre environnement, identifiées par AVR comme nom et ID. Les AVIT sont basés sur le dernier résumé de l’analyse jusqu’à ce qu’il soit confirmé Corrigé par le scanner. Si un AVIT n’est plus trouvé, il reste lié au résumé de l’analyse où il a été vu pour la dernière fois.

    Les éléments vulnérables de l’application peuvent être visualisés à partir de Tous > Réponse aux vulnérabilités des applications > Vulnérabilités > Éléments vulnérables module.

    Si une application est supprimée de la CMDB, tous les AVIT associés sont fermés.

    Pour en savoir plus sur les champs du formulaire AVIT, reportez-vous à la section Champs d’élément vulnérable d’application.

    Groupes et rôles d’utilisateurs dans Réponse aux vulnérabilités des applications

    Souvent, une équipe travaille ensemble pour créer, gérer et superviser la gestion des vulnérabilités des applications. Il existe des rôles stratégiques, ainsi que des rôles opérationnels, parmi les membres de l’équipe. Dans la plupart des organisations, vous pouvez endosser plusieurs rôles et souvent partager des rôles avec d’autres. Réponse aux vulnérabilités des applications utilise trois groupes d’utilisateurs contenant des rôles granulaires : Gestionnaire App-Sec, Champion de la sécurité des applications et Développeur. Consultez la rubrique Réponse aux vulnérabilités des applications Groupes et rôles d’utilisateurs pour plus d’informations sur ces groupes et rôles.

    Réponse aux vulnérabilités des applications États

    Réponse aux vulnérabilités des applications offre un modèle d’état pour l’état de vos éléments vulnérables de l’application (AVIT) et vous aide à déterminer quand et comment corriger vos AVIT.

    Un élément vulnérable d’application a plusieurs états possibles, consultez États des éléments vulnérables d’applications (AVI) pour plus d’informations.

    Réponse aux vulnérabilités applications et CSDM tables

    Réponse aux vulnérabilités des applications Les Réponse aux vulnérabilités intégrations de Nomenclature logicielle vulnérabilité et les applications tierces gèrent les tables (y contribuent des données). CSDM Ces applications utilisent également des données provenant de CSDM tables générées par d’autres applications. Plusieurs ServiceNow produits bénéficient donc de ces Opérations de sécurité applications et y ajoutent de la valeur. Consultez Réponse aux vulnérabilités applications et CSDM tables pour plus d'informations.