Présentation des intégrations NVD

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 6 minutes de lecture

    • Les intégrations NVD utilisent des données importées du produit NVD (National Vulnerability Database) du National Institute of Standards and Technology (NIST) pour vous aider à déterminer l’impact et la priorité des failles dans votre code. Exécutez cette intégration dans le cadre de votre configuration initiale et avant l’importation de Réponse aux vulnérabilités données de vulnérabilité dans votre instance avec un produit d’analyse tiers.

    Demander des applications dans l'App Store

    Visitez le ServiceNow Store pour afficher toutes les applications disponibles et pour obtenir des informations sur la soumission de demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Store notes de publication relatives à l'historique des versions.

    Le NVD du NIST collecte à la fois les données CVE (Common Vulnerabilities and Exposures) et CPE (Common Platform Enumeration) et met ces données à la disposition du ServiceNow AI Platform®. Il s’intègre Réponse aux vulnérabilités facilement pour cartographier les vulnérabilités CVE et CPE, enrichissant ainsi les données de votre instance.
    Important :
    Il existe un utilisateur « Exécuter en tant que » configuré pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. Système. Ne changez pas cette valeur.
    Une fois installée, l’intégration NIST National Vulnerability Database Integration-API (CVE uniquement) est invoquée automatiquement en tant que tâche planifiée et s’exécute quotidiennement. Vous pouvez également exécuter manuellement des travaux planifiés individuels. Les travaux planifiés simplifient le cycle de vie du rattrapage des vulnérabilités en maintenant l’instance synchronisée avec d’autres systèmes de gestion des vulnérabilités.
    Conseil :
    L’activation de ce module d’extension pour les instances de production peut nécessiter une licence distincte.

    Versions disponibles

    Version Notes de publication

    Réponse aux vulnérabilités Intégration avec NVD v1.2

    Importation initiale des données de vulnérabilité avec les intégrations NVD et CWE

    1. Effectuez une importation initiale des données CWE avec l’intégration complète CWE 2000.

      Consultez Configurer et exécuter la tâche planifiée pour la mise à jour des enregistrements CWE. Vous effectuez des mises à jour CWE sur demande à partir de l’enregistrement d’intégration par défaut et vous devez le configurer.

      Remarque :
      Planifiez l’exécution de la mise à jour CWE avant la mise à jour de la base de données NVD. Le jour par défaut pour la mise à jour NVD est le lundihebdomadaire.
    2. Vérifiez que l’intégration à l’application NVD est installée et qu’une Réponse aux vulnérabilités importation initiale de données à partir de l’API NIST National Vulnerability Database Integration (CVE uniquement) ou de l’API NIST National Vulnerability Database Integration (CVE et CPE) est réussie.

      Pour les CPE, vérifiez qu’une importation initiale de données à partir de l’API NIST National Vulnerability Database Integration (CPE uniquement) est réussie.

      L’activation de ce module d’extension pour les instances de production peut nécessiter une licence distincte. Une fois le module d’extension installé, l’API NIST National Vulnerability Database Integration (CVE uniquement) est activée par défaut. Il s’exécute quotidiennement. Consultez Installer l’intégration Réponse aux vulnérabilités dans la base de données nationale de vulnérabilité NIST pour plus d'informations.

    3. Les bibliothèques tierces sont mises à jour en tant que travaux planifiés. Consultez votre documentation d’intégration à l’adresse Intégrations de Réponse aux vulnérabilités pour en savoir plus sur les intégrations tierces.

    Comprendre les données de vulnérabilité importées et les éléments vulnérables

    Dans votre ServiceNow AI Platform instance, chaque vulnérabilité importée est représentée par une entrée de vulnérabilité dans les bibliothèques sources de produits d’analyse tiers comme , par Qualys exemple. Les éléments vulnérables (VI) qui sont importés et mis à jour dans votre instance sont des références à des bibliothèques tierces, telles que la Qualys bibliothèque. Une bibliothèque tierce peut, à son tour, faire référence au NVD.

    Par exemple, lorsque vous ingérez des données de vulnérabilité tierces à partir d’un produit comme Qualys, vous ingérez des VI qui font référence à un QID (Qualys identificateur). Dans le cas de Qualys, ce QID fait à son tour référence à un CVE de la bibliothèque NVD. Lorsque vous cliquez sur ce QID dans une tâche de rattrapage ou un enregistrement d’élément vulnérable dans l’application Réponse aux vulnérabilités , et que vous avez exécuté les intégrations NVD et CWE pour ingérer des données, vous visualisez des données de vulnérabilité actuelles et enrichies qui vous permettent de voir les relations qui existent entre vos VI et CVE, CWE et CPE.

    Avant d’exécuter un produit d’analyse tiers comme Qualys celui-ci qui a sa propre bibliothèque, vous devez d’abord installer et exécuter, au minimum, l’intégration NIST National Vulnerability Database Integration- API (CVE uniquement) (comprend également des détails liés à CISA), l’intégration CWE pour ingérer des données de vulnérabilité. Ces importations de données NVD et CWE enrichissent vos Réponse aux vulnérabilités données OR Réponse aux vulnérabilités des applications avant d’importer des données avec un produit tiers.

    Pour plus d’informations sur la gestion des bibliothèques NVD, CWE et tierces et sur leur affichage, reportez-vous à la section Importation de données avec les intégrations NVD et CWE et gestion de bibliothèques tierces et Afficher les Réponse aux vulnérabilités bibliothèques de vulnérabilité.

    Une fois que vous avez vérifié l’importation NVD réussie, pour enrichir davantage vos données de vulnérabilité, Configurer et exécuter la tâche planifiée pour la mise à jour des enregistrements CWE.

    Effectuez les importations NVD et CWE avant d’importer des données de vulnérabilité avec un produit tiers. Les bibliothèques tierces sont mises à jour en tant que travaux planifiés. Consultez votre documentation d’intégration à l’adresse Intégrations de Réponse aux vulnérabilités pour en savoir plus sur les intégrations tierces.

    Localisation des intégrations NVD

    Pour afficher les intégrations NVD, accédez à Vulnerability Response ou Réponse aux vulnérabilités de l’application > Administration > Intégrations.

    Les intégrations suivantes sont incluses dans le système de base.
    Remarque :
    Seule l’intégration de l’API (CVE uniquement) est active par défaut.
    Tableau 1. Intégrations NVD
    Intégration Description
    Intégration de la base de données des vulnérabilités nationale NIST - API (CVE uniquement) Récupère uniquement les données de vulnérabilité NVD (CVE) NIST. Par défaut, cette intégration est automatiquement définie pour s’exécuter quotidiennement.
    Intégration de la base de données des vulnérabilités nationale NIST - API (CPE uniquement) Récupère les données CPE à partir du NVD NIST. Cette intégration est désactivée par défaut.

    Activez cette intégration si vous souhaitez capturer des données CPE qui incluent un format de nom formel, une méthode de vérification des noms par rapport à un système et un format de description pour lier du texte et des tests à un nom. Ces informations sont stockées dans un logiciel vulnérable.

    Cette intégration est définie pour s’exécuter quotidiennement et est désactivée par défaut. Pour activer cette intégration, reportez-vous à la section Activer l’API de la base de données nationale sur les vulnérabilités du NIST (CPE UNIQUEMENT).
    Intégration de la base de données des vulnérabilités nationale NIST - API (CPE non mappé) Récupère les données CPE associées aux CVE récupérées à partir du NVD NIST. Cette intégration est désactivée par défaut.

    Activez cette intégration si vous souhaitez capturer des données CPE qui incluent un format de nom formel, une méthode de vérification des noms par rapport à un système et un format de description pour lier du texte et des tests à un nom. Ces informations sont stockées dans une liste connexe d’enregistrements d’entrée de vulnérabilité NVD. Cette intégration est définie pour s’exécuter sur demande et est désactivée par défaut. Pour activer cette intégration, reportez-vous à la section Activer l’API de base de données de vulnérabilité nationale NIST (CPE non mappé).
    Important :
    L’intégration « NIST National Vulnerability Database Integration-API (CVE and CPE) » est déconseillée.

    Pour les états d’exécution de l’intégration, Afficher l’état de l’exécution de l’importation de l’intégration NVD (base de données de vulnérabilité nationale) consultez .