Configurez la Intégration de vulnérabilité Fortify.

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Avant d’exécuter l’intégration sur votre instance, vous devez terminer les étapes d’installation et de configuration afin que le produit s’intègre Fortify correctement à la Réponse aux vulnérabilités des applications fonctionnalité de Réponse aux vulnérabilités. Cette application est disponible sous forme d’abonnement distinct.

    Avant de commencer

    Rôles requis : Gestionnaire App-Sec

    Complétez la liste de vérification de configuration suivante avant l’installation. Ces tâches d’installation sont nécessaires pour une installation et une configuration fluides.

    Remarque :
    Ce processus s’applique uniquement aux applications téléchargées vers les instances de production. Si vous téléchargez des applications vers des instances de non-production ou de développement, il n’est pas nécessaire d’obtenir des autorisations. Passez à .Activer une ServiceNow Store application
    Configurer les tâches Description
    Vérifiez que l’application Réponse aux vulnérabilités est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer Réponse aux vulnérabilités reportez-vous à la section .
    Vérifiez que l’intégration à Fortify l’application Réponse aux vulnérabilités est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer l’intégration de Réponse aux vulnérabilités ServiceNow avec Fortify reportez-vous à la section .
    Vérifiez que vous disposez des rôles requis ServiceNow pour votre instance. Les rôles suivants sont requis pour l’installation, la configuration et la vérification des résultats attendus :
    • Si ce n’est pas déjà fait, l’administrateur système [admin] installe l’application et affecte les utilisateurs au groupe de gestionnaires App-Sec.
    • Le gestionnaire App-Sec supervise la configuration et vérifie les résultats attendus.

    Pour , Intégration de vulnérabilité Fortify préparez votre ID API et votre clé API .

    Contactez Fortify pour obtenir l’ID API et la clé API.

    Procédure

    1. Connectez-vous à l’instance sur laquelle vous souhaitez installer les intégrations de vulnérabilité de l’application Fortify .
    2. Accédez au ServiceNow Store.
    3. Dans , recherchez l’intégration avec Fortify l’application.ServiceNow StoreRéponse aux vulnérabilités
    4. Cliquez sur la vignette de l’application.
      Des informations détaillées sur l’application que vous installez s’affichent.
      Remarque :
      Envisagez de lire les sections Autres exigences et dépendances , le cas échéant.
    5. Cliquez sur Demande d’application et saisissez vos Now Support informations d’identification de connexion.
    6. Cliquez sur Télécharger.
    7. Entrez le nom et la raison de l’instance, puis cliquez sur Valider l’instance.
    8. Cliquez sur Demander.
      Vous recevrez un e-mail avec des instructions d’installation détaillées.
    9. Accédez à la Applications système > Applications.
    10. Localisez l’application, sélectionnez-la, puis cliquez sur Installer.
      Votre application est automatiquement installée sur votre instance.
    11. Une fois l’installation terminée, accédez à Intégration de vulnérabilité Fortify > Configuration de FoD.
    12. Remplissez les champs du formulaire.
      Tableau 1. Formulaire de configuration de Fortify sur demande
      Champ Description
      URL racine de l'API URL de l’instance Fortify de l’utilisateur.
      Clé API Identificateur unique envoyé à l’API Fortify .
      Secret API Secret client fourni par Fortify.
      Inclure DAST Option permettant d’inclure les vulnérabilités des analyses DAST. Les analyses DAST identifient les vulnérabilités dans le comportement de votre application globale.
      Inclure SAST Option permettant d’inclure les vulnérabilités des analyses SAST. Les analyses SAST identifient les vulnérabilités du code.
      Triage des exceptions et des faux positifs dans ServiceNow (à partir de la version 20.0 de Vulnerability Response) Sélectionnez les options pour gérer automatiquement la gestion des exceptions et des faux positifs pour les AVI avec ServiceNow des workflows lors de l’importation. Ces options sont activées par défaut. Pour obtenir un exemple de cas d’utilisation, reportez-vous à la section Gestion du mappage d’état pour les reports et les faux positifs dans Réponse aux vulnérabilités des applications.
      Gérer les exceptions dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés marqués pour l’état Différé .

      Les AVI avec des états Source qui sont normalement mappés à un état Différé dans votre instance sont plutôt mappés à Ouvert.

      Vous demandez une exception à l’enregistrement AVI.

      Gérer les faux positifs dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés dont l’état source est marqué comme Faux positif ou Faux positif potentiel.

      Les AVI avec ces états source qui sont normalement mappés à un état Fermé dans votre instance sont mappés à Ouvert.

      Vous demandez un faux positif à partir de l’enregistrement AVI.
      • Désactivez l’une ou les deux cases à cocher si vous souhaitez conserver les états Source importés à partir de votre scanner.
      • Ces AVI sont mappés aux états cibles et aux états de motif cible au fur et à mesure de leur importation, mais ne sont pas triés par les workflows d’exception et de faux positifs. Les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVI.
      Triage dans ServiceNow (avant la version 20.0 de Vulnerability Response) Gérez le triage de la vulnérabilité de votre application dans l’instance ServiceNow :
      • Cochez la case pour trier les AVI dans ServiceNow. Si cette option est sélectionnée, les AVI sont importés à l’état ouvert. Vous pouvez ensuite demander une exception ou marquer l’AVI comme faux positif.
      • Pour conserver l’état source, c’est-à-dire l’état importé à partir du scanner, assurez-vous que la case n’est pas cochée.
      Remarque :
      Les options Marquer comme faux positif et Demander une exception ne sont disponibles que pour les AVI en cours de triage dans ServiceNow.
    13. Sélectionnez Enregistrer et tester les informations d’identification.

    Que faire ensuite

    Si votre environnement nécessite des importations séparées par domaine, reportez-vous à la section Créer des importations séparées par domaine pour une intégration.

    Lors de l’installation initiale, voir Configurer Réponse aux vulnérabilités des applications pour plus d’instructions.

    Après l’installation initiale, pour les modifications, reportez-vous à Intégration de vulnérabilité Fortify Modification et activités.