Configurez la Veracode Vulnerability Integration.

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Avant d’exécuter l’intégration sur votre instance, vous devez terminer les étapes d’installation et de configuration afin que le produit s’intègre Veracode correctement à Réponse aux vulnérabilités des applications. Cette application est disponible sous forme d’abonnement distinct.

    Avant de commencer

    Complétez la liste de vérification de configuration suivante avant l’installation. Ces tâches d’installation sont nécessaires pour une installation et une configuration fluides.
    Remarque :
    Ce processus s’applique uniquement aux applications téléchargées vers les instances de production. Si vous téléchargez des applications vers des instances de non-production ou de développement, il n’est pas nécessaire d’obtenir des autorisations. Passez à .Activer une ServiceNow Store application
    Configurer les tâches Description
    Vérifiez que l’application Réponse aux vulnérabilités est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer Réponse aux vulnérabilités reportez-vous à la section .
    Vérifiez que l’intégration à Veracode l’application Réponse aux vulnérabilités est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer l’intégration de Réponse aux vulnérabilités ServiceNow avec Veracode reportez-vous à la section .
    Vérifiez que vous disposez des rôles requis ServiceNow pour votre instance. Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • Si ce n’est pas déjà fait, l’administrateur système [admin] installe l’application et affecte les utilisateurs au groupe d’utilisateurs Gestionnaire de sécurité d’application.
    • Le gestionnaire App-Sec supervise la configuration et vérifie les résultats attendus.

    Pour l’intégration de vulnérabilité de l’application Veracode , préparez votre ID API et votre clé API .

    Contactez Veracode pour obtenirl’ID API et la clé API. Consultez Préparation du Veracode Vulnerability Integration.

    À partir de la version 4.0, si vous utilisez le Veracode Vulnerability Integration, les tests d’évaluation de pénétration dans le Veracode Vulnerability Integration sont des résultats manuels de .Veracode Ces résultats ne sont pas liés à des demandes d’évaluation de test de pénétration que vous configurez dans Réponse aux vulnérabilités des applications. Pour plus d’informations sur les demandes de test de pénétration dans , reportez-vous à Réponse aux vulnérabilités des applications.Configurer le test de pénétration
    Rôle requis : App-Sec Manager user group

    Procédure

    1. Accédez à la Tous > Intégration de vulnérabilité Veracode > Configuration.
    2. Renseignez les champs ID API et Clé API .
    3. Choisissez vos résultats de test.
      OptionDescription
      Version 4.0 :
      1. Sélectionnez les types de données DAST ou SAST à inclure dans l’importation.
        Remarque :
        Vous pouvez choisir l’un ou l’autre, ou les deux, mais vous devez en sélectionner au moins un.
      2. Sélectionnez SCA pour importer les vulnérabilités SCA (Software Composition Analysis).
      3. Sélectionnez Inclure manuel pour importer les résultats des tests de pénétration manuels à partir de Veracode. Des AVIT sont créés pour ces résultats.
      Version 3.0 Sélectionnez les types de données DAST ou SAST à inclure dans l’importation.
      Remarque :
      Vous pouvez choisir l’un ou l’autre, ou les deux, mais vous devez en sélectionner au moins un.
      Version 1.0 :

      Les résultats des tests de sécurité des applications dynamiques sont sélectionnés par défaut.
    4. Ajoutez le niveau Veracode de gravité pour filtrer vos données importées.
      Cette valeur est importée de .Veracode Vous pouvez ajouter plusieurs valeurs au champ. Si le champ est renseigné, l’importation rassemble uniquement les données qui correspondent aux niveaux de gravité que vous avez ajoutés.
    5. Enregistrez et validez vos choix.
      OptionDescription
      Version 3.0 :
      Cliquez sur Enregistrer et tester les informations d’identification.
      Remarque :
      La configuration est terminée avec succès à moins qu’un message d’erreur ne s’affiche. Si un message d’erreur s’affiche pendant la configuration, saisissez à nouveau vos données.
      Version 1.0 :

      Cliquez sur Enregistrer.

      Vérifiez la configuration réussie en cliquant sur Tester les informations d’identification.

      Remarque :
      La configuration est terminée avec succès à moins qu’un message d’erreur ne s’affiche. Si un message d’erreur s’affiche pendant la configuration, saisissez à nouveau vos données.
    6. Sélectionnez la façon dont vous souhaitez gérer les exceptions et les faux positifs pour les AVIT lors de l’importation.
      Les options permettant de gérer les AVIT lors de l’importation avec les ServiceNow workflows Gestion des exceptions et Faux positifs sont activées par défaut. Les workflows sont déclenchés en fonction de la façon dont les états sources des AVIT sont mappés dans votre instance. Pour obtenir un exemple de cas d’utilisation, reportez-vous à la section Gestion du mappage d’état pour les reports et les faux positifs dans Réponse aux vulnérabilités des applications.
      Activé
      Gérer les exceptions dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVIT importés marqués pour l’état Différé .

      Les AVIT avec des états Source qui sont normalement mappés à un état Différé dans votre instance sont plutôt mappés à Ouvert.

      Vous demandez une exception à l’enregistrement AVI.

      Gérer les faux positifs dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVIT importés dont l’état Source est marqué comme Faux positif ou Faux positif potentiel.

      Les AVIT avec ces états sources qui sont normalement mappés à un état Fermé dans votre instance sont mappés à Ouvert.

      Vous demandez un faux positif à partir de l’enregistrement AVIT.
      Désactivé

      Désactivez l’une ou les deux cases à cocher si vous souhaitez conserver les états Source importés à partir de votre scanner.

      Ces AVIT sont mappés aux états Cible et Motif cible au fur et à mesure de leur importation, mais ne sont pas triés par les workflows d’exception et de faux positifs. Les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVIT.
    7. À partir de la version 4.3, choisissez ou vérifiez les paramètres des paramètres suivants.
      ParamètreDescription
      Région de l'API Sélectionnez une région dans la liste.
      Délai d'attente de l'API La valeur par défaut est 30K. Vous préférez peut-être laisser ce champ dans son paramètre par défaut.
      Inclure les vulnérabilités SBOM

      Sélectionnez cette option pour inclure toutes les vulnérabilités ingérées par les Veracode intégrations dans les Veracode SBOM fichiers que vous chargez.

      Laissez le champ vide afin que Veracode les vulnérabilités ne soient pas analysées sur Veracode SBOM les fichiers.
    8. Sélectionnez Enregistrer et tester les informations d’identification.

    Que faire ensuite

    Si votre environnement nécessite des importations séparées par domaine, reportez-vous à la section Créer des importations séparées par domaine pour une intégration.

    Lors de l’installation initiale, reportez-vous à pour plus d’instructions Configurer Réponse aux vulnérabilités des applications .

    Après l’installation initiale, pour les modifications, reportez-vous à Veracode Vulnerability Integration Modifications et activités.