Configurez la Fortify Vulnerability Integration.

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Avant d’exécuter l’intégration sur votre instance, les étapes d’installation et de configuration doivent être terminées afin que le Fortify produit s’intègre correctement à la Réponse aux vulnérabilités des applications fonctionnalité .Réponse aux vulnérabilités Cette application est disponible sous forme d’abonnement distinct.

    Avant de commencer

    Rôles requis : Gestionnaire App-Sec

    Remplissez la liste de vérification de configuration suivante avant l’installation. Ces tâches d’installation sont nécessaires pour une installation et une configuration fluides.

    Remarque :
    Ce processus s’applique uniquement aux applications téléchargées sur les instances de production. Si vous téléchargez des applications vers des instances de non-production ou de développement, il n’est pas nécessaire d’obtenir des autorisations. Passez à la section .
    Tâches de configuration Description
    Vérifiez que l’application Réponse aux vulnérabilités est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer Réponse aux vulnérabilitésreportez-vous à la section .
    Vérifiez que l’intégration à Fortify l’application Réponse aux vulnérabilités est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer l’intégration de ServiceNow Vulnerability Response avec Fortifyreportez-vous à la section .
    Vérifiez que vous disposez des rôles requis ServiceNow pour votre instance. Les rôles suivants sont requis pour l’installation, la configuration et la vérification des résultats attendus :
    • Si ce n’est pas déjà fait, l’administrateur système [admin] installe l’application et affecte les utilisateurs au groupe App-Sec Manager.
    • Le gestionnaire App-Sec supervise la configuration et vérifie les résultats attendus.

    Pour le Fortify Vulnerability Integration, préparez votre ID API et votre clé API .

    Contact Fortify permettant d’obtenir l’ID API et la clé API.

    Procédure

    1. Connectez-vous à l’instance sur laquelle vous souhaitez installer les intégrations de vulnérabilité de l’application Fortify .
    2. Accédez au ServiceNow Store.
    3. Dans le ServiceNow Store, recherchez l’intégration à Fortify l’applicationRéponse aux vulnérabilités.
    4. Cliquez sur la miniature de l'application.
      Vous obtenez des informations détaillées sur l'application que vous allez installer.
      Remarque :
      Envisagez de lire les sections Autres exigences et Dépendances , le cas échéant.
    5. Cliquez sur Demander l'application et saisissez vos identifiants de connexion Now Support.
    6. Cliquez sur Télécharger.
    7. Saisissez le Nom de l'instance et le Motif de l'instance, puis cliquez sur Valider l'instance.
    8. Cliquez sur Demander.
      Vous recevrez un e-mail contenant des instructions d'installation détaillées.
    9. Accédez à la Applications système > Applications.
    10. Localisez l'application, sélectionnez-la et cliquez sur Installer.
      Votre application est automatiquement installée sur votre instance.
    11. Une fois l’installation terminée, accédez à Intégration de vulnérabilité Fortify > Configuration de FoD.
    12. Renseignez les champs du formulaire.
      Tableau 1. Formulaire de configuration de Fortify sur demande
      Champ Description
      URL racine de l'API URL de l’instance Fortify de l’utilisateur.
      Clé API Identificateur unique envoyé à l’API Fortify .
      Secret API Secret client fourni par Fortify.
      Inclure DAST Option permettant d’inclure les vulnérabilités des analyses DAST. Les analyses DAST identifient les vulnérabilités dans le comportement de l’ensemble de votre application.
      Inclure SAST Option permettant d’inclure les vulnérabilités des analyses SAST. Les analyses SAST identifient des vulnérabilités dans le code.
      Sélectionnez des options pour gérer la gestion des exceptions et les faux positifs pour AVI avec ServiceNow des workflows automatiquement lors de l’importation. Ces options sont activées par défaut. Pour consulter un exemple de cas d’utilisation, reportez-vous à la section Gestion du mappage d’état pour les reports et les faux positifs dans Réponse aux vulnérabilités des applications.
      Gérer les exceptions dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés marqués pour l’état Différé .

      Les AVI dont les états sources sont normalement mappés à un état Différé dans votre instance sont à la place mappés à Ouvert.

      Vous demandez une exception à partir de l’enregistrement AVI.

      Gérer les faux positifs dans ServiceNow
      Laissez cette option activée si vous souhaitez trier les AVI importés avec des états source marqués comme Faux positif ou Faux positif potentiel.

      Les AVI avec ces états source , qui sont normalement mappés à un état Fermé dans votre instance, sont mappés à Ouvert.

      Vous demandez un faux positif à partir de l’enregistrement AVI.
      • Décochez l’une des cases ou les deux si vous souhaitez conserver les états source importés à partir de votre scanner.
      • Ces AVI sont mappés aux états cibles et aux états de motif cible au fur et à mesure qu’ils sont importés, mais ne sont pas triés par les workflows d’exception et de faux positif. Les actions Demande d’exception et Faux positif ne sont pas visibles sur les AVI.
      Triage dans ServiceNow (avant la version 20.0 de Vulnerability Response) Gérez le triage de vulnérabilité de votre application dans l’instance ServiceNow :
      • Cochez la case pour trier les AVI dans ServiceNow. Si cette option est sélectionnée, les AVI sont importés à l’état Ouvert. Vous pouvez ensuite demander une exception ou marquer l’AVI comme faux positif.
      • Pour conserver l’état source, c’est-à-dire l’état importé du scanner, assurez-vous que la case n’est pas cochée.
      Remarque :
      Les options Marquer comme faux positif et Demander une exception ne sont disponibles que pour les AVI triés dans .ServiceNow
    13. Sélectionnez Enregistrer et tester les informations d’identification.

    Que faire ensuite

    Si votre environnement nécessite des importations séparées par domaine, reportez-vous à la section Créer des importations séparées par domaine pour une intégration.

    Lors de l’installation initiale, reportez-vous à la section Configurer Réponse aux vulnérabilités des applications pour plus d’instructions.

    Après l’installation initiale, pour les modifications, reportez-vous à la section Fortify Vulnerability Integration Modification et activités.