GitHub 애플리케이션 취약성 통합 구성
인스턴스에서 통합을 실행하기 전에 GitHub 제품이 과 제대로 통합 애플리케이션 취약성 대응되도록 설치 및 구성 단계를 완료해야 합니다. 이 애플리케이션은 별도의 구독으로 사용할 수 있습니다.
시작하기 전에
- App-Sec 관리자 사용자 그룹
- OAuth 설정에 필요한 sn_vul.app_sec_manager
프로시저
- 다음으로 이동 모두 > Github 취약성 통합 > 구성.
-
인증 유형으로 기본 인증 또는 OAuth 를 선택합니다.
- 기본 인증에는 온프레미스 인스턴스용 MID 서버가 필요합니다. 계정에서 GitHub 기본 인증에 필요한 API 토큰을 생성합니다.
- OAuth에는 에 설명된 앱용 GitHub OAuth 2.0 자격 증명 생성 - 용 JWT GitHub 애플리케이션 취약성 통합OAuth 앱, 자격 증명 및 연결 설정이 필요합니다.
-
선택한 유형에 따라 필드를 채웁니다.
기본 인증을 선택하는 경우.
필드 설명 API URL 엔터프라이즈 또는 온프레미스에 적합한 GitHub API URL입니다. 기본 URL은 https://api.github.com입니다. 온 프레미스는 엔드포인트 URL입니다 GitHub . API 토큰 콘솔에서 생성한 토큰입니다.GitHub API 유형 다음 중 하나를 선택합니다. - 조직
- 특정 조직의 데이터를 이름별로 임포트하려면 이 옵션을 선택합니다. 환경은 GitHub 여러 조직을 지원합니다. 각 조직은 여러 리포지토리를 지원할 수 있습니다. 조직을 입력하면 해당 조직의 데이터만 임포트됩니다.
- 기업용
- 엔터프라이즈 환경은 여러 조직을 지원합니다. 엔터프라이즈(클라우드) 환경의 모든 조직에서 취약성 데이터를 임포트하려면 이 옵션을 선택합니다.
엔터프라이즈 이름( API 유형으로 엔터프라이즈를 선택한 경우) 엔터프라이즈 환경의 이름입니다. 환경이 둘 이상의 조직을 지원할 수 있습니다. 엔터프라이즈 모드(api_type = 2)에서는 /enterprises/{enterprise_name}/orgs 및 Repos별로 나열된 다음 반환되는 모든 조직에서 팬 아웃되기 때문에 조직 통합이 먼저 실행되어야 합니다. (AVR) 스케줄러는 애플리케이션 취약성 대응 기본적으로 이 작업을 자동으로 처리합니다.
주:이 값을 명확히 하는 데 도움이 되도록 엔터프라이즈 이름 필드에 표시되는 롤오버 힌트가 있습니다. GitHub 콘솔 내에서 찾은 엔터프라이즈의 이름입니다. 이 필드는 자격 증명 확인에 사용되지 않습니다.조직 이름( API 유형에 대해 조직을 선택한 경우) 리포지토리 이름입니다 GitHub . 입력한 조직의 데이터만 임포트됩니다. 조직 모드(api_type = 1)에서 리포지토리 통합은 /orgs/{organisation_name}/repos를 통해 직접 임포트하며, 조직 통합은 메타데이터 새로 고침으로만 실행되며 실행 순서는 중요하지 않습니다.
MID 서버 기본 인증을 위한 온 프레미스 인스턴스의 경우 MID 서버가 필요합니다. ServiceNow에서 일반 비밀 관리 애플리케이션 취약한 항목(AVI)에 대한 일반 비밀과 함께 일반 비밀을 임포트하려면 이 옵션을 활성화합니다. 예외 관리 및 긍정 오류를 관리하는 옵션을 선택합니다. 임포트 시 워크플로우를 사용하여 ServiceNow 예외 관리 및 애플리케이션 취약 항목(AVI)에 대한 긍정 오류를 자동으로 관리하는 옵션을 선택합니다.
- ServiceNow에서 예외 관리
- 지연됨 상태로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.
일반적으로 인스턴스에서 지연됨 상태로 매핑되는 소스 상태가 있는 AVI는 대신 오픈에 매핑됩니다.
AVI 기록에서 예외를 요청 합니다.
- ServiceNow에서 긍정 오류 관리
- 소스 상태가 긍정 오류 또는 잠재적 긍정 오류로 표시된 임포트한 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.
일반적으로 인스턴스에서 종결 상태로 매핑되는 이러한 소스 상태의 AVI는 오픈에 매핑됩니다.
AVI 기록에서 긍정 오류를 요청합니다.
- 스캐너에서 임포트한 소스 상태를 유지하려면 확인란 중 하나 또는 둘 다를 비활성화합니다.
- 비활성화하면 예외 요청 및 긍정 오류 작업이 AVI에 표시되지 않습니다.
통합 인스턴스 데이터를 임포트할 인스턴스입니다. OAuth를 선택하는 경우.
필드 설명 API URL 엔터프라이즈 또는 온프레미스에 적합한 GitHub API URL입니다. 기본 URL은 https://api.github.com입니다. 온 프레미스는 엔드포인트 URL입니다 GitHub . 연결 생성한 연결은 에 설명되어 있습니다.앱용 GitHub OAuth 2.0 자격 증명 생성 - 용 JWT GitHub 애플리케이션 취약성 통합 API 유형 읽기 전용 주:다음 중 하나를 선택합니다.OAuth를 선택하면 엔터프라이즈 API 유형이 GitHub Apps 인증 방법으로 지원되지 않습니다.
조직 이름 리포지토리의 조직 이름입니다 GitHub . 입력한 조직 내 리포지토리의 데이터만 임포트됩니다. ServiceNow에서 일반 비밀 관리 애플리케이션 취약한 항목(AVI)에 대한 일반 비밀과 함께 일반 비밀을 임포트하려면 이 옵션을 활성화합니다. 예외 관리 및 긍정 오류를 관리하는 옵션을 선택합니다. 임포트 시 워크플로우를 사용하여 ServiceNow 예외 관리 및 애플리케이션 취약 항목(AVI)에 대한 긍정 오류를 자동으로 관리하는 옵션을 선택합니다.
- ServiceNow에서 예외 관리
- 지연됨 상태로 표시된 임포트된 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.
일반적으로 인스턴스에서 지연됨 상태로 매핑되는 소스 상태가 있는 AVI는 대신 오픈에 매핑됩니다.
AVI 기록에서 예외를 요청 합니다.
- ServiceNow에서 긍정 오류 관리
- 소스 상태가 긍정 오류 또는 잠재적 긍정 오류로 표시된 임포트한 AVI를 분류하려면 이 옵션을 활성화된 상태로 둡니다.
일반적으로 인스턴스에서 종결 상태로 매핑되는 이러한 소스 상태의 AVI는 오픈에 매핑됩니다.
AVI 기록에서 긍정 오류를 요청합니다.
- 스캐너에서 임포트한 소스 상태를 유지하려면 확인란 중 하나 또는 둘 다를 비활성화합니다.
- 비활성화하면 예외 요청 및 긍정 오류 작업이 AVI에 표시되지 않습니다.
-
자격 증명 저장 및 테스트를 선택합니다.
주:통합을 실행하기 전에 예약된 스크립트 "스캔 유형을 일반 비밀로 표시"가 성공적으로 완료되었는지 확인합니다. 이 스크립트는 완료될 때까지 5분마다 실행되도록 구성됩니다. 작업이 완료되면 실행 설정이 요청 시로 설정되어 있는지 확인합니다. 그렇지 않은 경우 시스템 로그에서 오류를 확인하십시오.
-
API 유형에 대해 선택한 항목에 따라 하나를 선택합니다.
옵션 설명 엔터프라이즈 API 유형을 선택한 경우 다른 통합을 실행하기 전에 조직 통합을 GitHub 실행합니다. 먼저 조직 통합을 실행하여 엔터프라이즈 산하의 모든 조직을 임포트한 다음(해당되는 경우) 다른 통합을 실행하기 전에 리포지토리 통합을 실행해야 합니다. 다른 GitHub 통합은 리포지토리 통합에서 임포트한 현재 애플리케이션 데이터에 따라 달라집니다. 조직 API 유형을 선택한 경우 다른 통합을 실행하기 전에 GitHub Repos 통합을 실행합니다. 다른 GitHub 통합은 리포지토리 통합에서 임포트한 현재 애플리케이션 데이터에 따라 달라집니다. 통합은 기본적으로 활성화됩니다. 통합 기록에서 통합을 비활성화하고 통합 실행을 예약할 수 있습니다. - 통합을 예약하고 시작 시간을 설정하거나 비활성화하려면 다음으로 이동하십시오. 모두 > GitHub 취약성 통합 > 통합.
-
이름 열에서 링크를 선택하여 기록을 열고 시작 시간을 설정합니다.
편집 중인 통합이 성공적으로 완료된 후 실행할 다음 통합을 선택할 수 있습니다. 요청 시 통합을 시작하려면 지금 실행을 선택합니다.
- 옵션: 자세한 내용은 임포트 실행 상태와 임포트한 리포지토리 데이터 보기 GitHub 애플리케이션 취약성 통합 문서를 참조하십시오.