Configurez la Fortify Vulnerability Integration.

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Avant d’exécuter l’intégration sur votre instance, les étapes d’installation et de configuration doivent être terminées afin que le Fortify produit s’intègre correctement à la Application Vulnerability Response fonctionnalité de Vulnerability Response. Cette application est disponible sous forme d’abonnement distinct.

    Avant de commencer

    Rôles requis : Gestionnaire de sécurité des applications

    Respectez la liste de vérification de configuration suivante avant l’installation. Ces tâches de configuration sont nécessaires pour une installation et une configuration fluides.

    Remarque :
    Ce processus s’applique uniquement aux applications téléchargées sur les instances de production. Si vous téléchargez des applications vers des instances de sous-production ou de développement, il n’est pas nécessaire d’obtenir des autorisations. Passez à Activer une ServiceNow Store application.
    Tâches de configuration Description
    Vérifiez que l’application Vulnerability Response est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer Vulnerability Responsereportez-vous à la section .
    Vérifiez que l’intégration à Fortify l’application Vulnerability Response est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer Vulnerability ServiceNow Response Integration avec Fortifyreportez-vous à la section .
    Vérifiez que vous disposez des rôles requis ServiceNow pour votre instance. Les rôles suivants sont requis pour l’installation, la configuration et la vérification des résultats attendus :
    • S’il n’est pas déjà affecté, l’administrateur système [admin] installe l’application et affecte les utilisateurs au groupe Gestionnaire de sécurité des applications.
    • Le gestionnaire App-Sec supervise la configuration et vérifie les résultats attendus.

    Pour le Fortify Vulnerability Integration, préparez votre ID API et votre clé API .

    Contact Fortify pour obtenir l’ID API et la clé API.

    Procédure

    1. Connectez-vous à l’instance sur laquelle vous souhaitez installer les intégrations de vulnérabilité de l’application Fortify .
    2. Accédez au ServiceNow Store.
    3. Dans le , recherchez l’intégration à Fortify l’applicationServiceNow StoreVulnerability Response.
    4. Cliquez sur la miniature de l'application.
      Vous obtenez des informations détaillées sur l'application que vous allez installer.
      Remarque :
      Nous vous conseillons de lire les sections Autres exigences et Dépendances , le cas échéant.
    5. Cliquez sur Demander l'application et saisissez vos identifiants de connexion Now Support.
    6. Cliquez sur Obtenir.
    7. Saisissez le Nom de l'instance et le Motif de l'instance, puis cliquez sur Valider l'instance.
    8. Cliquez sur Demander.
      Vous recevrez un e-mail contenant des instructions d'installation détaillées.
    9. Accédez à la Applications système > Applications.
    10. Localisez l'application, sélectionnez-la et cliquez sur Installer.
      Votre application est automatiquement installée sur votre instance.
    11. Une fois l’installation terminée, accédez à Intégration de vulnérabilité Fortify > Configuration de FoD.
    12. Renseignez les champs du formulaire.
      Tableau 1. Formulaire de configuration Fortify sur demande
      Champ Description
      URL racine de l'API URL de l’instance Fortify de l’utilisateur.
      Clé API Identificateur unique envoyé à l’API Fortify .
      Secret API Secret client fourni par Fortify.
      Inclure DAST Option permettant d’inclure les vulnérabilités issues des analyses DAST. Les analyses DAST identifient les vulnérabilités dans le comportement de l’ensemble de votre application.
      Inclure SAST Option permettant d’inclure les vulnérabilités des analyses SAST. Les analyses SAST identifient les vulnérabilités du code.
      Tri des exceptions et des faux positifs dans ServiceNow (à partir de la version 20.0 de Vulnerability Response) Sélectionnez les options pour gérer automatiquement la gestion des exceptions et les faux positifs pour AVI avec ServiceNow des workflows lors de l’importation. Ces options sont activées par défaut. Pour obtenir un exemple de cas d’utilisation, reportez-vous à Gestion du mappage d’état pour les reports et les faux positifs dans Application Vulnerability Response.
      Gérer les exceptions dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés marqués pour l’état Différé .

      Les AVI avec des états source qui sont normalement mappés vers un état Différé dans votre instance sont plutôt mappés vers Ouvert.

      Vous demandez une exception à partir de l’enregistrement AVI.

      Gérer les faux positifs dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés dont l’état source est marqué comme faux positif ou faux positif potentiel.

      Les AVI avec ces états source , qui sont normalement mappés vers un état Fermé dans votre instance, sont mappés vers Ouvert.

      Vous demandez un faux positif à partir de l’enregistrement AVI.
      • Décochez l’une des cases ou les deux si vous souhaitez conserver les états source importés à partir de votre scanner.
      • Ces AVI sont mappés aux états cibles et aux états de motif cible au fur et à mesure de leur importation, mais ne sont pas triés par les workflows d’exception et de faux positif. Les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVI.
      Triage dans ServiceNow (avant la version 20.0 de Vulnerability Response) Gérez le triage de la vulnérabilité de votre application dans l’instance ServiceNow :
      • Cochez la case pour trier les AVI dans ServiceNow. Si cette option est sélectionnée, les AVI sont importés à l’état Ouvert. Vous pouvez ensuite demander une exception ou marquer l’AVI comme faux positif.
      • pour conserver l’état source, c’est-à-dire l’état importé à partir du scanner, assurez-vous que la case à cocher n’est pas sélectionnée.
      Remarque :
      Les options Marquer comme faux positif et Demande d’exception ne sont disponibles que pour les AVI en cours de triage dans .ServiceNow
    13. Sélectionnez Enregistrer et tester les informations d’identification.

    Que faire ensuite

    Si votre environnement nécessite des importations séparées par domaine, reportez-vous à la section Créer des importations séparées par domaine pour une intégration.

    Lors de l’installation initiale, reportez-vous à la section Configurer Application Vulnerability Response pour plus d’instructions.

    Après l’installation initiale, pour les modifications, reportez-vous à Fortify Vulnerability Integration Modification et activités.