애플리케이션 취약성 대응 탐색

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 8분

    • 애플리케이션 취약성은 애플리케이션의 개발 수명주기 동안 검사되는 사용자 지정 소프트웨어 애플리케이션의 취약성입니다.

    개요 애플리케이션 취약성 대응 및 사용 가능한 버전

    애플리케이션 취약성 대응 (AVR)은 애플리케이션 취약성을 처리하는 애플리케이션의 취약성 대응 일부입니다.

    표 1. 사용 가능한 버전
    릴리스 버전 릴리스 정보

    취약성 대응 v23.0

    취약성 대응 v22.0

    취약성 대응 v21.0 버전

    취약성 대응 v20.0

    취약성 대응 버전 19.0

    취약성 대응 v18.2

    		 Application Vulnerability Response release notes

    호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경을 참조하십시오.

    작동 원리

    취약성 데이터는 CWE(일반적인 약점 열거) 또는 외부 공급업체 통합과 같은 내부 및 외부 소스에서 임포트됩니다. 데이터를 임포트한 후에는 사용자의 구성 관리 데이터베이스(CMDB) 애플리케이션 데이터와 비교되고 애플리케이션에서 처리됩니다 애플리케이션 취약성 대응 . 임포트한 애플리케이션 취약성 데이터와 CMDB의 데이터가 일치하면 AVIT(애플리케이션 취약한 항목)가 생성됩니다.

    여기에는 애플리케이션 취약성 대응 다음과 같은 주요 기능이 포함됩니다.
    • 지원되는 외부 공급업체 스캐너와 통합하여 취약성 데이터를 임포트합니다.
    • 애플리케이션 취약성 관련 데이터를 비교하고 애플리케이션에서 애플리케이션 취약성이 발견되는지 확인합니다.
    • 애플리케이션 취약한 항목(AVIT)의 우선순위를 지정하고 정정하고 관리합니다. 각 애플리케이션 취약성은 CWE 또는 타사 라이브러리의 취약성 항목을 나타냅니다.
    • 의 버전 18.0취약성 대응부터 에서 AVIT를 각각 모니터링하고 정정할 수 있습니다.취약성 관리자 작업 공간IT 정정 작업 공간 자세한 내용은 취약성 관리자 작업 공간IT 정정 작업 공간 문서를 참조하십시오.
    • 계산기와 라이브러리를 사용하여 데이터의 상관관계를 지정 애플리케이션 취약성 대응 하면 다음 작업을 수행하는 데 도움이 됩니다.
      • CI 조회 규칙을 사용하여 애플리케이션 취약 항목을 자동으로 작성합니다. 임포트하는 동안 타사 취약성이 CWE에 연결되어 AVIT를 생성합니다.
      • 애플리케이션 취약한 항목 할당을 자동화하는 담당 규칙을 생성합니다.
      • 계산기 그룹을 사용하여 비즈니스 영향을 확인하거나, 필터를 사용하여 다양한 조건을 지정하거나, 간단한 계산을 적용하거나, 스크립트를 사용합니다.
      • 향후 정정 활동을 모니터링할 수 있도록 애플리케이션 취약한 항목을 정정하기 위한 예상 기간을 정의하는 정정 대상 규칙을 생성합니다.
    • 단일 타사 취약성을 여러 CWE 항목에 연결하고 취약성의 기본 CWE를 찾아 위험을 확인하는 데 도움이 됩니다. 기본 CWE에 대한 자세한 내용은 다음 문서를 참조하십시오애플리케이션 취약성 필드.
    • CWE 데이터베이스에서 다운로드하거나 타사 통합에서 가져온 CWE 기록을 참조용으로 사용하여 취약성을 에스컬레이션해야 하는지 여부를 결정하는 데 도움이 됩니다. 각 CWE 기록에는 약점을 설명하는 관련 지식 문서도 포함되어 있습니다.

    통합에서 조사, 해결에 이르기까지 정보의 흐름을 추적하는 데 사용합니다 애플리케이션 취약성 대응 .

    애플리케이션 취약성 대응 플로우

    임포트된 취약성 데이터의 유형

    애플리케이션 취약성 대응 는 다음과 같은 유형의 임포트된 애플리케이션 취약성 데이터를 지원합니다.
    주:
    v19.0 이전에는 SAST, SCA, IAST 및 침투 테스트 데이터가 수집되지 않았으며 , Fortify, Invicti 및 에 표시되는 Veracode내용과 에 표시되는 애플리케이션 취약성 대응내용 간의 차이점을 설명할 수 있습니다.
    동적 애플리케이션 보안 테스트(DAST)
    DAST 스캔은 애플리케이션에 입력을 전송하고 애플리케이션이 실행되는 동안 응답을 모니터링하여 취약성 애플리케이션을 찾습니다. 이 접근 방식은 외부 공격을 모방할 수 있습니다. 동적 검사 중에 실행 중인 서비스(URL)에 취약성이 있는지 검사됩니다. 취약성 결과에는 검색된 취약성의 URL 위치가 포함됩니다.
    정적 애플리케이션 보안 테스트(SAST)
    SAST 스캔은 미사용 중인 애플리케이션의 소스 코드를 검토하여 코드를 작성한 방식에서 취약점을 찾는 데 도움이 됩니다. SAST 스캔은 컴파일되지 않은 소스 코드에서 수행되므로 애플리케이션 서비스와 독립적으로 존재합니다. 반환된 결과에는 검색된 취약성의 파일 및 라인 번호 위치가 포함됩니다.
    인터랙티브 애플리케이션 보안 테스트(IAST)
    IAST 스캔은 실행 중인 프로그램과 상호작용하여 소프트웨어 취약성을 발견합니다. 사람의 관찰, 자동화된 테스트 및 센서가 애플리케이션과 상호작용하여 취약성을 찾는 데 함께 사용됩니다.
    소프트웨어 구성 분석(SCA)
    취약성 대응v19.0부터 SCA(소프트웨어 구성 분석) 취약성을 수집할 수 있습니다. 소프트웨어 애플리케이션에서 사용되는 오픈 소스 소프트웨어의 약점을 식별하는 데 도움이 되는 SCA 취약성 데이터입니다.
    침투 테스트
    에서 침투 테스트 평가 요청을 애플리케이션 취약성 대응 구성하면 애플리케이션의 약점이 어디에 있는지, 이를 해결하기 위해 무엇을 할 수 있는지 이해하는 데 도움을 받을 수 있습니다.
    소프트웨어 자재 명세서
    () 데이터를 업로드소프트웨어 자재 명세서SBOM하여 오픈 소스 구성요소의 취약성을 식별합니다. 자세한 내용은 소프트웨어 자재 명세서 탐색 문서를 참조하십시오.

    사용 케이스

    다음 DAST 사용 사례 중 일부가 지원됩니다.
    • 스캔 결과의 각 취약성을 일종의 cmdb_ci(하위 클래스)과 연결합니다.
    • 보낸 사람 디스커버리 또는 외부 공급업체 통합에 CMDB 기록이 있는 경우 DAST 스캔 결과를 기존 애플리케이션과 연결합니다.
    • 새 애플리케이션이 이전에 식별되지 않았거나 CMDB에 저장되지 않은 경우 DAST 스캔 결과를 새로 삽입된 검사된 애플리케이션과 연결합니다.
    • 이 이외의 ServiceNow®제품에서 애플리케이션을 관리할 때 CMDB에 대한 DAST 스캔 결과를 저장합니다.
    • 이전에 다른 용도로 사용자 지정한 경우 CMDB에 대한 DAST 스캔 결과를 저장합니다.
    • 소스 코드 리포지토리에 대한 애플리케이션을 수동으로 생성합니다.
    지원되는 SAST 사용 사례 중 일부가 지원됩니다.
    • 스캔 결과의 각 취약성을 일종의 cmdb_ci(하위 클래스)과 연결합니다.
    • 소스 코드 리포지토리에 대한 CI를 수동으로 생성합니다.
    • 관련 애플리케이션 서비스가 없는 SAST 검사 결과를 저장합니다.

    외부 공급업체 통합

    에서 애플리케이션 취약성 대응 지원하는 타사 통합은 에서 별도의 애플리케이션으로 사용할 수 있습니다.ServiceNow Store 자세한 내용은 다른 애플리케이션과 애플리케이션 취약성 대응의 통합 문서를 참조하십시오.

    주요 기능

    CI 조회 규칙
    구성 관리 데이터베이스(CMDB)에서 일치하는 애플리케이션 데이터를 자동으로 검색합니다.
    할당 규칙
    사용자 그룹, 사용자 그룹 필드 및 스크립트를 기반으로 애플리케이션 취약성을 자동으로 할당합니다.
    위험 계산기
    조건 필터를 통해 기준에 따라 계산기를 통해 AVIT의 영향에 대한 우선순위를 자동으로 지정하고 평가합니다.
    심각도 매핑
    애플리케이션 취약한 항목의 필드에 대한 초기 값을 자동으로 계산합니다. 취약성 항목에는 소스 심각도와 정규화된 심각도(심각도 매핑 기준)가 모두 있습니다. 심각도는 CWE(공통 약점 열거형)와 연결됩니다.
    정정 대상 규칙
    애플리케이션 취약한 항목을 정정하기 위한 예상 기간을 정의합니다.
    보고
    보안 태세, 정정 추세, 가장 중요한 AVIT가 있는 상위 10개 애플리케이션 또는 비즈니스 단위에 대한 인사이트를 신속하게 얻습니다.

    두 검사 유형의 공통점은 애플리케이션 릴리스입니다. 이름 문자열을 정의하는 애플리케이션 릴리스는 스캐너 측에서 검사된 취약성 결과를 그룹화하는 연결 지점입니다. 이렇게 하면 AVR이 통합을 통해 스캔 결과를 임포트할 때 결과가 속한 애플리케이션 릴리스를 알 수 있습니다.

    구성 항목 [cmdb_ci] 하위 테이블인 검사한 애플리케이션 [sn_vul_app_scanned_application]이 애플리케이션 및 범위에 취약성 대응 생성되었습니다. 이 테이블은 애플리케이션 릴리스 추상화를 저장하고 CMDB 관계를 통해 서비스 그래프 기능을 제공합니다. 다음에서 볼 수 있습니다. 모두 > 애플리케이션 취약성 대응 > 관리 > 애플리케이션 모듈. 검사한 애플리케이션의 목록 뷰에는 설치 중에 추가된 부서지원 그룹 이 포함되어 있습니다.

    애플리케이션 취약한 항목(AVIT)

    애플리케이션 취약성의 경우 AVR은 취약성을 애플리케이션과 연관시켜 애플리케이션 취약 항목(AVIT) 기록을 생성합니다. CMDB에는 애플리케이션을 구성하는 요소에 대한 여러 정의가 있기 때문에 애플리케이션을 애플리케이션 취약성 대응 스캔된 애플리케이션으로 제한합니다. 스캔한 애플리케이션은 AVR로 이름ID로 식별되는 환경에서 스캔된 애플리케이션입니다. AVIT는 확인될 때까지 최신 검사 요약을 기반으로 합니다. 스캐너에 의해 수정 됩니다. AVIT를 더 이상 찾을 수 없는 경우 마지막으로 본 검사 요약에 연결된 상태로 유지됩니다.

    애플리케이션 취약 항목은 다음에서 볼 수 있습니다. 모두 > 애플리케이션 취약성 대응 > 취약성 > 취약 항목 모듈.

    애플리케이션이 CMDB에서 제거되면 연결된 모든 AVIT가 닫힙니다.

    AVIT 양식 필드에 대한 자세한 내용은 다음 문서를 참조하십시오 애플리케이션 취약한 항목 필드.

    애플리케이션 취약성 대응의 사용자 그룹 및 역할

    종종 팀이 함께 작업하여 애플리케이션 취약성을 생성, 관리 및 감독합니다. 팀 구성원 간에는 전략적 역할과 운영 역할이 있습니다. 대부분의 조직에서는 두 가지 이상의 역할에 참여할 수 있으며 다른 사람과 역할을 공유할 수도 있습니다. 애플리케이션 취약성 대응 는 앱 보안 관리자, 애플리케이션 보안 챔피언 및 개발자라는 세분화된 역할을 포함하는 세 개의 사용자 그룹을 사용합니다. 이러한 그룹 및 역할에 대한 자세한 내용은 문서를 참조하십시오 애플리케이션 취약성 대응 사용자 그룹 및 역할 .

    애플리케이션 취약성 대응 상태

    애플리케이션 취약성 대응 은 애플리케이션 취약 항목(AVIT)의 상태에 대한 상태 모델을 제공하며 AVIT를 정정할 시기와 방법을 결정하는 데 도움이 됩니다.

    애플리케이션 취약한 항목에는 여러 가지 상태가 있을 수 있습니다. 자세한 내용은 다음을 참조하십시오 애플리케이션 취약한 항목(AVI) 상태 .

    취약성 대응 애플리케이션CSDM 테이블

    , 애플리케이션 취약성 대응, 타사 취약성 통합 및 소프트웨어 자재 명세서 애플리케이션이 취약성 대응테이블을 관리(데이터 기여) CSDM 합니다. 이러한 애플리케이션은 다른 애플리케이션이 생성하는 테이블의 CSDM 데이터도 사용합니다. 따라서 여러 ServiceNow 제품이 이러한 보안 운영 애플리케이션의 이점을 누리고 가치를 더합니다. 자세한 내용은 취약성 대응 애플리케이션 및 CSDM 테이블 문서를 참조하십시오.