Veracode 脆弱性統合 の構成

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:4分

    • インスタンスで統合を実行する前に、インストールと構成のステップを完了して、アプリケーション脆弱性対応Veracode 製品と適切に統合されるようにします。このアプリケーションは別のサブスクリプションとして利用できます。

    始める前に

    インストールの前に、次のセットアップチェックリストを完了します。これらのセットアップタスクは、インストールと構成をスムーズに行うために必要です。
    注:
    このプロセスは、本番インスタンスにダウンロードしたアプリケーションにのみ適用されます。非本番インスタンスまたは開発インスタンスにアプリケーションをダウンロードする場合は、エンタイトルメントの取得は必要ありません。「」に進みます。
    セットアップタスク 説明
    脆弱性対応 アプリケーションがインストールされ、アクティブ化されていることを確認します。

    このアプリケーションがアクティブ化されていることを確認するには、 サブスクリプション管理 > サブスクリプション すぐに利用できますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「脆弱性対応 のインストール」を参照してください。
    脆弱性対応 Integration with Veracode アプリケーションがインストールされ、アクティブ化されていることを確認します。

    このアプリケーションがアクティブ化されていることを確認するには、 サブスクリプション管理 > サブスクリプション すぐに利用できますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「ServiceNow Vulnerability Response Integration with Veracode のインストール」を参照してください。
    インスタンスに必要な ServiceNow ロールがあることを確認します。 期待される結果を構成および検証するには、次のロールが必要です。
    • まだアサインされていない場合、システムアドミニストレーター [admin] はアプリをインストールして、ユーザーをアプリセキュリティマネージャーユーザーグループにアサインします。
    • アプリセキュリティマネージャーは構成を監督し、期待される結果を検証します。

    Veracode アプリケーション脆弱性統合の場合は、API IDAPI キーを用意してください。

    Veracode に問い合わせ、[API ID][API キー] を取得してください。「Veracode 脆弱性統合 の準備」を参照してください。

    バージョン 4.0 以降では、Veracode 脆弱性統合 を使用している場合は、Veracode 脆弱性統合 のペネトレーションアセスメントテストは Veracode からの手動検出結果になります。これらの検出結果は、アプリケーション脆弱性対応 で構成したペネトレーションテストアセスメント要求にはリンクされません。アプリケーション脆弱性対応 でのペネトレーションテスト要求の詳細については、「ペネトレーションテストの構成」を参照してください。
    必要なロール:アプリセキュリティマネージャーユーザーグループ

    手順

    1. 移動先 すべて > Veracode 脆弱性統合 > 構成.
    2. [API ID] フィールドと [API キー] フィールドに入力します。
    3. テスト結果を選択します。
      オプション説明
      バージョン 4.0:
      1. インポートに含める [DAST] または [SAST] データタイプを選択します。
        注:
        いずれか、または両方を選択できますが、少なくとも 1 つを選択する必要があります。
      2. Software Composition Analysis (SCA) 脆弱性をインポートするには、[SCA] を選択します。
      3. Veracode から手動ペネトレーションテストの結果をインポートするには、[手動を含める (Include Manual)] を選択します。これらの結果に対して AVIT が作成されます。
      バージョン 3.0 インポートに含める [DAST] または [SAST] データタイプを選択します。
      注:
      いずれか、または両方を選択できますが、少なくとも 1 つを選択する必要があります。
      バージョン 1.0:

      デフォルトでは、ダイナミックアプリケーションセキュリティのテスト結果が選択されています。
    4. 選択内容を保存して検証します。
      オプション説明
      バージョン 3.0:
      [認証情報を保存してテスト] をクリックします。
      注:
      エラーメッセージが表示されない限り、構成は正常に完了しています。構成中にエラーメッセージが表示される場合は、データを再入力します。
      バージョン 1.0:

      [保存] をクリックします。

      [認証情報をテスト] をクリックして、構成が正常であることを確認します。

      注:
      エラーメッセージが表示されない限り、構成は正常に完了しています。構成中にエラーメッセージが表示される場合は、データを再入力します。
    5. v4.3 以降では、次のパラメーターの設定を選択または検証します。
      パラメーター説明
      API リージョン (API region) リストからリージョンを選択します。
      API タイムアウト (API timeout) デフォルトは 30K です。このフィールドはデフォルト設定のままにしてください。
      SBOM 脆弱性を含める (Include SBOM vulnerabilities)

      Veracode 統合によって取り込まれた脆弱性をアップロードする Veracode SBOM ファイルに含める場合に選択します。

      Veracode SBOM ファイルで Veracode 脆弱性解析されないように、フィールドをオフのままにします。
    6. [認証情報を保存してテスト] を選択します。

    次のタスク

    環境でドメインセパレーションインポートが必要な場合は、「統合のためのドメインセパレーションインポートの作成」を参照してください。

    初期インストールの手順の詳細については、「アプリケーション脆弱性対応 の構成」を参照してください。

    初期インストール後の変更については、「Veracode 脆弱性統合 の変更とアクティビティ」を参照してください。