Configurez la Veracode Vulnerability Integration.

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Avant d’exécuter l’intégration sur votre instance, les étapes d’installation et de configuration doivent être terminées afin que le produit s’intègre Veracode correctement à Application Vulnerability Response. Cette application est disponible sous forme d’abonnement distinct.

    Avant de commencer

    Respectez la liste de vérification de configuration suivante avant l’installation. Ces tâches de configuration sont nécessaires pour une installation et une configuration fluides.
    Remarque :
    Ce processus s’applique uniquement aux applications téléchargées sur les instances de production. Si vous téléchargez des applications vers des instances de sous-production ou de développement, il n’est pas nécessaire d’obtenir des autorisations. Passez à Activer une ServiceNow Store application.
    Tâches de configuration Description
    Vérifiez que l’application Vulnerability Response est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer Vulnerability Responsereportez-vous à la section .
    Vérifiez que l’intégration à Veracode l’application Vulnerability Response est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer Vulnerability ServiceNow Response Integration avec Veracodereportez-vous à la section .
    Vérifiez que vous disposez des rôles requis ServiceNow pour votre instance. Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • S’il n’est pas déjà affecté, l’administrateur système [admin] installe l’application et affecte les utilisateurs au groupe d’utilisateurs App-Sec Manager.
    • Le gestionnaire App-Sec supervise la configuration et vérifie les résultats attendus.

    Pour l’intégration de vulnérabilité de l’application Veracode , préparez votre ID API et votre clé API .

    Contact Veracode pour obtenirl’ID API et la clé API. Consultez Préparation de la Veracode Vulnerability Integration.

    À partir de la version 4.0, si vous utilisez le , les tests d’évaluation Veracode Vulnerability Integrationd’intrusion de la Veracode Vulnerability Integration sont des résultats manuels de Veracode. Ces résultats ne sont liés à aucune demande d’évaluation de test de pénétration que vous configurez dans Application Vulnerability Response. Pour plus d’informations sur les demandes de test d’intrusion dans Application Vulnerability Response, consultez Configurer un test de pénétration.
    Rôle requis : groupe d’utilisateurs App-Sec Manager

    Procédure

    1. Accédez à la Tout > Intégration de vulnérabilité Veracode > Configuration.
    2. Renseignez les champs ID API et Clé API .
    3. Choisissez vos résultats de test.
      OptionDescription
      Variante 4.0 :
      1. Sélectionnez les types de données DAST ou SAST à inclure dans l’importation.
        Remarque :
        Vous pouvez choisir l’un ou l’autre, ou les deux, mais vous devez en sélectionner au moins un.
      2. Sélectionnez SCA pour importer les vulnérabilités de l’analyse de la composition logicielle (SCA).
      3. Sélectionnez Inclure manuel pour importer les résultats des tests d’intrusion manuels à partir de Veracode. Des AVI sont créés pour ces résultats.
      Version 3.0 Sélectionnez les types de données DAST ou SAST à inclure dans l’importation.
      Remarque :
      Vous pouvez choisir l’un ou l’autre, ou les deux, mais vous devez en sélectionner au moins un.
      Variante 1.0 :

      Les résultats des tests de sécurité des applications dynamiques sont sélectionnés, par défaut.
    4. Ajoutez le niveau de gravité Veracode pour filtrer vos données importées.
      Cette valeur est importée de Veracode. Vous pouvez ajouter plusieurs valeurs au champ. Si elle est renseignée, l’importation collecte uniquement les données qui correspondent aux niveaux de gravité que vous avez ajoutés.
    5. Enregistrez et validez vos choix.
      OptionDescription
      Variante 3.0 :
      Cliquez sur Enregistrer et tester les informations d’identification.
      Remarque :
      La configuration est effectuée avec succès, sauf si un message d’erreur s’affiche. Si un message d’erreur s’affiche pendant la configuration, entrez à nouveau vos données.
      Variante 1.0 :

      Cliquez sur Enregistrer.

      Vérifiez la configuration correcte en cliquant sur Informations d’identification de test.

      Remarque :
      La configuration est effectuée avec succès, sauf si un message d’erreur s’affiche. Si un message d’erreur s’affiche pendant la configuration, entrez à nouveau vos données.
    6. Sélectionnez la façon dont vous souhaitez gérer les exceptions et les faux positifs pour les AVI lors de l’importation.
      Les options permettant de gérer les AVI lors de l’importation avec les ServiceNow workflows Gestion des exceptions et Faux positif sont activées par défaut. Les workflows sont déclenchés en fonction de la façon dont les états de la source sur les AVI sont mappés dans votre instance. Pour obtenir un exemple de cas d’utilisation, reportez-vous à Gestion du mappage d’état pour les reports et les faux positifs dans Application Vulnerability Response.
      Activé
      Gérer les exceptions dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés marqués pour l’état Différé .

      Les AVI avec des états source qui sont normalement mappés vers un état Différé dans votre instance sont plutôt mappés vers Ouvert.

      Vous demandez une exception à partir de l’enregistrement AVI.

      Gérer les faux positifs dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés dont l’état source est marqué comme faux positif ou faux positif potentiel.

      Les AVI avec ces états source , qui sont normalement mappés vers un état Fermé dans votre instance, sont mappés vers Ouvert.

      Vous demandez un faux positif à partir de l’enregistrement AVI.
      Désactivé

      Décochez l’une des cases ou les deux si vous souhaitez conserver les états source importés à partir de votre scanner.

      Ces AVI sont mappés aux états Cible et Motif cible au fur et à mesure de leur importation, mais ne sont pas triés par les workflows d’exception et de faux positif. Les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVI.
    7. Sélectionnez Enregistrer et tester les informations d’identification.

    Que faire ensuite

    Si votre environnement nécessite des importations séparées par domaine, reportez-vous à la section Créer des importations séparées par domaine pour une intégration.

    Lors de l’installation initiale, reportez-vous à pour plus d’instructions Configurer Application Vulnerability Response .

    Après l’installation initiale, pour les modifications, reportez-vous à Veracode Vulnerability Integration Modifications et activités.