GitHub アプリケーション脆弱性統合の準備

ワシントンDCのセキュリティ管理

Release: washingtondc
ft:locale: ja-JP
ft:publication_title: ワシントンDCのセキュリティ管理
ft:clusterId: security
bundleId: security
workflow: Technology

GitHub アプリケーション脆弱性統合の準備

リリースバージョン: Washingtondc

更新日 2024年02月01日

読む2読むのに数分

これらのタスクを実行して、統合の準備をします。GitHub アプリケーション脆弱性統合は、GitHub 製品と API に精通していることを前提としています。

統合レコードごとに run-as ユーザーが構成されています。このユーザーのデフォルト値は VR.System です。この値は変更しないでください。

必要なロール：

アプリケーションのダウンロード、インストール、アクティブ化、およびロールの割り当てを行う管理者。
GitHub コンソールで資格情報を取得してトークンを生成する GitHub 管理者。
インスタンスで接続とエイリアスレコードを設定する管理者。

表 : 1. セットアップタスク
セットアップタスク	説明
脆弱性対応アプリケーションがインストールされ、アクティブ化されていることを確認します。	このアプリケーションがアクティブ化されていることを確認するには、次の場所に移動します。サブスクリプション管理 > サブスクリプションすぐに利用できますリストには、組織で購入したサブスクリプションが表示されます。アプリケーションがインストールもアクティブ化もされていない場合は、「脆弱性対応のインストール」を参照してください。
GitHub Application Vulnerability Integration がインストールされ、アクティブ化されていることを確認します。	このアプリケーションがアクティブ化されていることを確認するには、次の場所に移動します。サブスクリプション管理 > サブスクリプションすぐに利用できますリストには、組織で購入したサブスクリプションが表示されます。アプリケーションがインストールもアクティブ化もされていない場合は、「ServiceNow GitHub アプリケーション脆弱性統合のインストール」を参照してください。
インスタンスに必要な ServiceNow ロールがあることを確認します。	期待される結果を構成および検証するには、次のロールが必要です。まだアサインされていない場合、システム管理者 [admin] はアプリをインストールして、ユーザーをアプリセキュリティマネージャーユーザーグループにアサインします。アプリセキュリティマネージャーは構成を監督し、期待される結果を検証します。 sn_vul_github_config_integrationは、アプリセキュリティマネージャーユーザーグループに継承されます。このロールには、connection_admin ロールと oauth_admin ロールが含まれています。
GitHub の資格情報とアカウント情報を取得します。	認証用に作成するレコードには、アカウント情報が必要です。OAuth 認証に必要なレコードの設定の詳細については、「」を参照してください GitHub アプリケーション脆弱性統合の OAuth 認証に必要なレコードの作成。
共通脆弱性タイプ一覧 (CWE) データをインポートしていることを確認します。	共通脆弱性タイプ一覧 (CWE) 統合は GitHub 脆弱性統合でもアプリケーション脆弱性対応使用され、GitHub 脆弱性統合をインストールして構成する前に実行する必要があります。脆弱性対応では、デフォルトでインストールされます。注: NIST 脆弱性データベース (NVD) データは GitHub 脆弱性統合のインストールには必要ありませんが、拡張が提供されるので便利です。NVD の詳細については、「NVD と CWE の統合によるデータのインポートとサードパーティライブラリの管理」を参照してください。