Explorer Réponse aux vulnérabilités des applications

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 8 minutes de lecture

    • Les vulnérabilités d’application sont des vulnérabilités sur vos applications logicielles personnalisées qui sont analysées tout au long du cycle de vie de développement de l’application.

    Vue d’ensemble Réponse aux vulnérabilités des applications et versions disponibles

    Réponse aux vulnérabilités des applications (AVR) est la partie de l’application qui traite les vulnérabilités de l’application Réponse aux vulnérabilités .

    Tableau 1. Versions disponibles
    Version Notes de publication

    Réponse aux vulnérabilités v23.0

    Réponse aux vulnérabilités v22.0

    Réponse aux vulnérabilités v21.0

    Réponse aux vulnérabilités v20.0

    Réponse aux vulnérabilités v19.0

    Réponse aux vulnérabilités v18.2

    		 Application Vulnerability Response release notes

    Pour plus d’informations sur la compatibilité, consultez Matrice de compatibilité de KB0856498 Vulnerability Response et Changements de schéma de mise en production

    Fonctionnement

    Les données de vulnérabilité sont importées de sources internes et externes, telles que Common Weakness Enumeration (CWE) ou d’intégrations tierces. Une fois les données importées, elles sont comparées aux données d’application dans votre Base de données de gestion des configurations (CMDB) application et traitées dans l’application Réponse aux vulnérabilités des applications . S’il existe une correspondance entre les données de vulnérabilité de l’application importées et les données de votre CMDB, un élément vulnérable de l’application (AVIT) est créé.

    Il Réponse aux vulnérabilités des applications comprend les fonctionnalités clés suivantes :
    • Intégrez des scanners tiers pris en charge pour importer des données de vulnérabilité.
    • Comparez les données liées à la vulnérabilité de l’application et déterminez si des vulnérabilités de l’application sont détectées dans une application.
    • Prioriser, corriger et gérer les éléments vulnérables de l’application (AVIT). Chaque vulnérabilité d’application représente une entrée de vulnérabilité dans la CWE ou dans les bibliothèques tierces.
    • À partir de la version 18.0 de Réponse aux vulnérabilités, vous pouvez surveiller et corriger les AVIT dans et respectivement Espace de travail du gestionnaire de vulnérabilitésEspace de travail de remédiation IT . Pour plus d'informations, consultez Espace de travail du gestionnaire de vulnérabilités et Espace de travail de remédiation IT.
    • Corrélez Réponse aux vulnérabilités des applications les données à l’aide de calculatrices et de bibliothèques pour vous aider à effectuer les tâches suivantes.
      • Créez automatiquement des éléments vulnérables d’application à l’aide des règles de recherche de CI. Pendant l’importation, des vulnérabilités tierces sont associées à une CWE pour créer un AVIT.
      • Créez des règles d’affectation pour automatiser les affectations d’éléments vulnérables d’application.
      • Utilisez des groupes de calculateurs pour déterminer l’impact sur l’entreprise, spécifier différentes conditions à l’aide de filtres, appliquer des calculs simples ou utiliser un script.
      • Créez des règles de cibles de rattrapage qui définissent le délai prévu pour le rattrapage des éléments vulnérables de l’application afin de surveiller les activités de rattrapage à venir.
    • Associez une seule vulnérabilité tierce à plusieurs entrées CWE et trouvez la CWE primaire pour une vulnérabilité afin de vous aider à déterminer le risque. Pour plus d’informations sur CWE primaire, reportez-vous à la section Champs de vulnérabilité de l’application.
    • Utilisez les enregistrements CWE qui sont téléchargés à partir de la base de données CWE ou importés à partir d’intégrations tierces pour référence afin de vous aider à décider si vous devez remonter une vulnérabilité. Chaque enregistrement CWE inclut également un article de la base de connaissances associé qui décrit la faiblesse.

    Permet Réponse aux vulnérabilités des applications de suivre le flux d’informations, de l’intégration à la résolution, en passant par l’enquête.

    Flux Application Vulnerability Response

    Types de données de vulnérabilité importées

    Réponse aux vulnérabilités des applications prend en charge les types suivants de données de vulnérabilité des applications importées.
    Remarque :
    Avant la version 19.0, les données SAST, SCA, IAST et les tests d’intrusion n’étaient pas ingérées et pouvaient expliquer les différences entre ce qui est affiché dans Veracode, Fortifyet Invicti et ce qui apparaît dans Réponse aux vulnérabilités des applications.
    Test dynamique de sécurité des applications (DAST)
    Les analyses DAST détectent les vulnérabilités des applications en envoyant des entrées à vos applications et en surveillant leurs réponses pendant qu’elles sont en cours d’exécution. Cette approche pourrait imiter une attaque extérieure. Au cours de l’analyse dynamique, une URL de service en cours d’exécution est analysée pour détecter les vulnérabilités. Les résultats de vulnérabilité incluent l’emplacement URL d’une vulnérabilité détectée.
    Test statique de sécurité des applications (SAST)
    Les analyses SAST examinent le code source des applications au repos et vous aident à trouver des vulnérabilités dans la façon dont vous avez écrit votre code. L’analyse SAST a lieu sur du code source non compilé et existe donc indépendamment de tout service d’application. Les résultats renvoyés incluent l’emplacement d’un fichier et d’un numéro de ligne d’une vulnérabilité détectée.
    Test interactif de sécurité des applications (IAST)
    Les analyses IAST détectent les vulnérabilités logicielles en interagissant avec le programme pendant qu’il est en cours d’exécution. L’observation humaine, les tests automatisés et les capteurs sont utilisés en combinaison pour interagir avec l’application afin de localiser les vulnérabilités.
    Analyse de la composition logicielle (SCA)
    À partir de la version 19.0 de , vous pouvez ingérer des vulnérabilités telles Réponse aux vulnérabilitésque Software Composition Analysis (SCA). Données de vulnérabilité SCA pour vous aider à identifier les faiblesses des logiciels open source utilisés dans vos applications logicielles.
    Test de pénétration
    Vous configurez des demandes d’évaluation de test de pénétration pour Réponse aux vulnérabilités des applications vous aider à comprendre où se trouvent les faiblesses de votre application et ce que vous pouvez faire pour les corriger.
    Nomenclature logicielle
    Chargez Nomenclature logicielle (SBOM) des données pour identifier les vulnérabilités dans vos composants open source. Consultez Explorer Nomenclature logicielle pour plus d'informations.

    Cas d'utilisation

    Certains des cas d’utilisation DAST suivants sont pris en charge :
    • Reliez chaque vulnérabilité des résultats de l’analyse à une sorte de cmdb_ci (classe enfant).
    • Associez les résultats de l’analyse DAST à une application existante lorsqu’il existe un enregistrement dans l’DE Découverte ou une intégration tierceCMDB.
    • Associez le résultat de l’analyse DAST à une application numérisée nouvellement insérée lorsqu’une nouvelle application n’a pas été préalablement identifiée et/ou stockée dans la CMDB.
    • Stockez les résultats de l’analyse DAST pour une CMDB lorsque vous gérez vos applications dans un produit autre que ServiceNow®.
    • Stockez les résultats d’analyse DAST pour une CMDB si vous les avez préalablement personnalisés à d’autres fins.
    • Créez manuellement une application pour le référentiel de code source.
    Certains des cas d’utilisation SAST pris en charge sont pris en charge :
    • Reliez chaque vulnérabilité des résultats de l’analyse à une sorte de cmdb_ci (classe enfant).
    • Créez manuellement un CI pour le référentiel de code source.
    • Stockez les résultats de l’analyse SAST qui n’ont pas de service d’application associé.

    Intégrations tierces

    Les intégrations tierces prises en charge par Réponse aux vulnérabilités des applications sont disponibles en tant qu’applications distinctes dans le ServiceNow Store. Consultez Intégrer Réponse aux vulnérabilités des applications avec d'autres applications pour plus d'informations.

    Fonctionnalités principales

    Règles de recherche de CI
    Rechercher automatiquement les correspondances dans les données de l’application Base de données de gestion des configurations (CMDB).
    Règles d'affectation
    Affectez automatiquement des vulnérabilités d’applications en fonction des groupes d’utilisateurs, des champs de groupe d’utilisateurs et des scripts.
    Calculateurs de risque
    Hiérarchisez et évaluez automatiquement l’impact des AVIT à l’aide de calculateurs, en fonction de n’importe quel critère, à l’aide de filtres de condition.
    Mappage de sévérité
    Calculez automatiquement les valeurs initiales des champs sur les éléments vulnérables de l’application. Les entrées de vulnérabilité ont à la fois une gravité de source et une gravité normalisée (en fonction du mappage de gravité). La gravité est liée à l’énumération des faiblesses courantes (CWE).
    Règles de cibles de rattrapage
    Définissez le délai prévu pour le rattrapage d’un élément vulnérable de l’application.
    Reporting
    Obtenez rapidement un aperçu de votre posture de sécurité, des tendances de rattrapage et des 10 principales applications ou unités business avec les AVIT les plus critiques.

    Le point commun aux deux types d’analyses est la version de l’application. Une version de l’application, qui définit une chaîne de nom , est le point de liaison pour regrouper les résultats de vulnérabilité analysés côté scanner. De cette façon, AVR sait à quelle version de l’application les résultats appartiennent lors de l’importation des résultats d’analyse via l’intégration.

    Une table enfant d’élément de configuration [cmdb_ci], Applications numérisées [sn_vul_app_scanned_application], a été créée dans l’application et le Réponse aux vulnérabilités périmètre. Cette table stocke l’abstraction de la version de l’application et fournit un mappage des services par le biais de ses relations CMDB. Ils peuvent être consultés à partir du Tout > Application Vulnerability Response > Administration > Applications module. La vue de liste des applications numérisées contient le département et le groupe de support ajoutés lors de la configuration.

    Éléments vulnérables de l’application (AVIT)

    Pour les vulnérabilités d’application, AVR associe une vulnérabilité à une application pour créer l’enregistrement d’élément vulnérable de l’application (AVIT). En raison des multiples définitions de ce qui constitue une application dans la CMDB, Réponse aux vulnérabilités des applications limite les applications aux applications numérisées. Les applications analysées sont les applications analysées dans votre environnement identifiées par AVR sous les noms et ID. Les AVIT sont basés sur le dernier résumé de l’analyse jusqu’à ce qu’ils soient confirmés par le scanner. Si un AVIT n’est plus trouvé, il reste lié au résumé de l’analyse où il a été vu pour la dernière fois.

    Les éléments vulnérables de l’application peuvent être affichés à partir de Tout > Application Vulnerability Response > Vulnérabilités > Éléments vulnérables module.

    Si une application est supprimée de la CMDB, tous les AVIT associés sont fermés.

    Pour plus d’informations sur les champs de formulaire AVIT, reportez-vous à la section Champs d’éléments vulnérables d’applications.

    Groupes d’utilisateurs et rôles dans Réponse aux vulnérabilités des applications

    Souvent, une équipe travaille ensemble pour créer, gérer et superviser la gestion des vulnérabilités des applications. Des rôles stratégiques, ainsi que des rôles opérationnels, sont attribués aux membres de l'équipe. Dans la plupart des organisations, vous pouvez endosser plusieurs rôles et souvent partager des rôles avec d’autres. Réponse aux vulnérabilités des applications utilise trois groupes d’utilisateurs contenant des rôles granulaires : Gestionnaire de sécurité des applications, Champion de sécurité des applications et Développeur. Consultez la rubrique Réponse aux vulnérabilités des applications Groupes et rôles d’utilisateurs pour en savoir plus sur ces groupes et rôles.

    Réponse aux vulnérabilités des applications États

    Réponse aux vulnérabilités des applications propose un modèle d’état pour l’état des éléments vulnérables de votre application (AVIT) et vous aide à déterminer quand et comment corriger vos AVIT.

    Un élément vulnérable d’application a plusieurs états possibles, consultez États des éléments vulnérables de l’application (AVI) pour plus d’informations.