Configurez la Veracode Vulnerability Integration.

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Avant d’exécuter l’intégration sur votre instance, les étapes d’installation et de configuration doivent être terminées afin que le produit s’intègre Veracode correctement à Réponse aux vulnérabilités des applications. Cette application est disponible sous forme d’abonnement distinct.

    Avant de commencer

    Remplissez la liste de vérification de configuration suivante avant l’installation. Ces tâches d’installation sont nécessaires pour une installation et une configuration fluides.
    Remarque :
    Ce processus s’applique uniquement aux applications téléchargées sur les instances de production. Si vous téléchargez des applications vers des instances de non-production ou de développement, il n’est pas nécessaire d’obtenir des autorisations. Passez à la section .
    Tâches de configuration Description
    Vérifiez que l’application Réponse aux vulnérabilités est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer Réponse aux vulnérabilitésreportez-vous à la section .
    Vérifiez que l’intégration à Veracode l’application Réponse aux vulnérabilités est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer l’intégration de ServiceNow Vulnerability Response avec Veracodereportez-vous à la section .
    Vérifiez que vous disposez des rôles requis ServiceNow pour votre instance. Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • Si ce n’est pas déjà fait, l’administrateur système [admin] installe l’application et affecte les utilisateurs au groupe d’utilisateurs App-Sec Manager.
    • Le gestionnaire App-Sec supervise la configuration et vérifie les résultats attendus.

    Pour l’intégration de la vulnérabilité de l’application Veracode , préparez votre ID API et votre clé API .

    Contact Veracode permettant d’obtenirl’ID API et la clé API. Consultez Se préparer à la Veracode Vulnerability Integration.

    À partir de la version 4.0, si vous utilisez le Veracode Vulnerability Integration, les tests d’évaluation de pénétration dans le Veracode Vulnerability Integration sont des résultats manuels à partir de Veracode. Ces résultats ne sont pas liés aux demandes d’évaluation de test de pénétration que vous configurez dans Réponse aux vulnérabilités des applications. Pour en savoir plus sur les demandes de tests de pénétration dans , reportez-vous Configurer les tests de pénétrationà Réponse aux vulnérabilités des applications.
    Rôle requis : groupe d’utilisateurs du gestionnaire App-Sec

    Procédure

    1. Accédez à la Tout > Intégration de vulnérabilité Veracode > Configuration.
    2. Renseignez les champs ID API et Clé API .
    3. Choisissez les résultats de vos tests.
      OptionDescription
      Variante 4.0 :
      1. Sélectionnez les types de données DAST ou SAST à inclure dans l’importation.
        Remarque :
        Vous pouvez choisir l’un ou l’autre, ou les deux, mais vous devez en sélectionner au moins un.
      2. Sélectionnez SCA pour importer les vulnérabilités de l’analyse de la composition logicielle (SCA).
      3. Sélectionnez Inclure manuel pour importer les résultats des tests d’intrusion manuels à partir de Veracode. Les AVIT sont créés pour ces résultats.
      Version 3.0 Sélectionnez les types de données DAST ou SAST à inclure dans l’importation.
      Remarque :
      Vous pouvez choisir l’un ou l’autre, ou les deux, mais vous devez en sélectionner au moins un.
      Variante 1.0 :

      Les résultats des tests de sécurité des applications dynamiques sont sélectionnés par défaut.
    4. Enregistrez et validez vos choix.
      OptionDescription
      Variante 3.0 :
      Cliquez sur Enregistrer et tester les informations d’identification.
      Remarque :
      La configuration est terminée avec succès, sauf si un message d’erreur s’affiche. Si un message d’erreur s’affiche pendant la configuration, saisissez à nouveau vos données.
      Variante 1.0 :

      Cliquez sur Enregistrer.

      Vérifiez la configuration correcte en cliquant sur Informations d’identification de test.

      Remarque :
      La configuration est terminée avec succès, sauf si un message d’erreur s’affiche. Si un message d’erreur s’affiche pendant la configuration, saisissez à nouveau vos données.
    5. À partir de la version 4.3, choisissez ou vérifiez les paramètres des paramètres suivants.
      ParamètreDescription
      Région de l’API Sélectionnez une région dans la liste.
      Délai d’expiration de l’API La valeur par défaut est 30K. Vous préférerez peut-être laisser ce champ dans ses paramètres par défaut.
      Inclure les vulnérabilités SBOM

      Sélectionnez cette option pour inclure toutes les vulnérabilités ingérées par les Veracode intégrations dans les Veracode SBOM fichiers que vous chargez.

      Laissez le champ vide afin que Veracode les vulnérabilités ne soient pas analysées sur Veracode SBOM les fichiers.
    6. Sélectionnez Enregistrer et tester les informations d’identification.

    Que faire ensuite

    Si votre environnement nécessite des importations séparées par domaine, reportez-vous à la section Créer des importations séparées par domaine pour une intégration.

    Lors de l’installation initiale, reportez-vous à pour plus d’instructions Configurer Réponse aux vulnérabilités des applications .

    Après l’installation initiale, pour les modifications, reportez-vous à la section Veracode Vulnerability Integration Modifications et activités.