NVD 통합 이해

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 5분

    • NVD 통합은 NIST(National Institute of Standards and Technology) NVD(국가 취약성 데이터베이스) 제품에서 임포트한 데이터를 사용하여 코드 결함의 영향과 우선순위를 파악하는 데 도움을 줍니다. 외부 공급업체 스캐너 제품을 사용하여 취약성 데이터를 인스턴스로 임포트하기 취약성 대응 전에 초기 설정의 일부로 이 통합을 실행합니다.

    스토어에서 앱 요청

    사용 가능한 모든 앱을 보고 스토어에 요청을 제출하는 방법에 대한 자세한 내용을 보려면 다음을 ServiceNow Store 방문하십시오. 출시된 모든 앱의 누적 릴리스 정보는 ServiceNow Store 버전 기록 릴리스 정보를 참조하십시오.

    NIST NVD는 CVE(Common Vulnerabilities and Exposures) 및 CPE(Common Platform Enumeration) 데이터를 모두 수집하고 해당 데이터를 에서 사용할 수 있도록 ServiceNow AI Platform®합니다. 인스턴스의 데이터를 보강하는 CVE 및 CPE 취약성을 매핑하기 위해 쉽게 통합 취약성 대응 됩니다.
    중요사항:
    각 통합 기록에 대해 구성된 실행 사용자가 있습니다. 이 사용자의 기본값은 VR입니다. 시스템. 이 값은 변경하지 마십시오.
    설치되면 NIST 국가 취약성 데이터베이스 통합-API(CVE 전용) 통합이 예약된 작업으로 자동으로 호출되고 매일 실행됩니다. 예약된 개별 작업을 수동으로 실행할 수도 있습니다. 예약된 작업은 인스턴스를 다른 취약성 관리 시스템과 동기화된 상태로 유지하여 취약성 정정 수명주기를 단순화합니다.
    팁:
    프로덕션 인스턴스에서 이 플러그인을 활성화하려면 별도의 라이센스가 필요할 수 있습니다.

    사용 가능한 버전

    릴리스 버전 릴리스 정보

    취약성 대응 NVD v1.2와 통합

    NVD 및 CWE 통합을 통한 취약성 데이터의 초기 임포트

    1. CWE Comprehensive 2000 통합을 사용하여 CWE 데이터의 초기 임포트를 수행합니다.

      CWE 기록을 업데이트하기 위해 예약된 작업을 구성하고 실행합니다. 문서를 참조하십시오. 기본적으로 통합 기록에서 요청 시 CWE 업데이트를 수행하며 이를 구성해야 합니다.

      주:
      NVD 데이터베이스 업데이트 전에 CWE 업데이트가 실행되도록 예약합니다. NVD 업데이트의 기본 요일은 매주월요일입니다.
    2. NVD와의 통합 애플리케이션이 설치되어 있고 NIST 국가 취약성 데이터베이스 통합 API(CVE만) 또는 NIST 국가 취약성 데이터베이스 통합 API(CVE 및 CPE)에서 초기 데이터 임포트가 성공했는지 확인합니다 취약성 대응 .

      CPE의 경우 NIST 국가 취약성 데이터베이스 통합 API(CPE 전용)에서 초기 데이터 임포트가 성공했는지 확인합니다.

      프로덕션 인스턴스에서 이 플러그인을 활성화하려면 별도의 라이센스가 필요할 수 있습니다. 플러그인이 설치되면 NIST 국가 취약성 데이터베이스 통합 API(CVE만 해당)가 기본적으로 활성화됩니다. 매일 실행됩니다. 자세한 내용은 취약성 대응 NIST 국가 취약성 데이터베이스와의 통합 설치 문서를 참조하십시오.

    3. 외부 공급업체 라이브러리는 예약된 작업으로 업데이트됩니다. 외부 공급업체 통합에 대한 자세한 내용은 다음에서 취약성 대응 통합 통합 설명서를 참조하십시오.

    임포트한 취약성 데이터 및 취약 항목 이해

    예를 ServiceNow AI Platform 들어 임포트한 각 취약성은 와(과) Qualys같은 외부 공급업체 스캐너 제품의 소스 라이브러리에 있는 취약성 항목으로 표시됩니다. 인스턴스에서 임포트되고 업데이트되는 VI(취약한 항목)는 라이브러리와 같은 외부 공급업체 라이브러리에 대한 참조입니다.Qualys 타사 라이브러리는 NVD를 다시 참조할 수 있습니다.

    예를 들어 와 같은 Qualys제품에서 타사 취약성 데이터를 수집할 때 QID(식별자)Qualys 를 참조하는 VI를 수집하게 됩니다. 의 경우 Qualys해당 QID는 NVD 라이브러리의 CVE를 참조합니다. 애플리케이션의 취약성 대응 정정 작업 또는 취약한 항목 기록에서 해당 QID를 클릭하고 NVD 및 CWE 통합을 실행하여 데이터를 수집하면 VI와 CVE, CWE 및 CPE 간에 존재하는 관계를 볼 수 있는 현재 보강된 취약성 데이터를 볼 수 있습니다.

    자체 라이브러리가 있는 외부 Qualys 공급업체 스캐너 제품을 실행하기 전에 최소한 NIST 국가 취약성 데이터베이스 통합 API(CVE만 해당) 통합(CISA 관련 세부 정보 포함), CWE 통합을 설치하고 실행하여 취약성 데이터를 수집해야 합니다. 이러한 NVD 및 CWE 데이터 임포트는 타사 제품으로 데이터를 임포트하기 전에 사용자 취약성 대응 또는 애플리케이션 취약성 대응 데이터를 보강합니다.

    NVD, CWE 및 타사 라이브러리를 관리하고 보는 방법에 대한 자세한 내용은 해당 문서를 참조하십시오 NVD 및 CWE 통합으로 데이터 임포트 및 외부 공급업체 라이브러리 관리취약성 라이브러리 보기 취약성 대응.

    NVD 임포트가 성공적으로 이루어졌는지 확인한 후에는 취약성 데이터를 CWE 기록을 업데이트하기 위해 예약된 작업을 구성하고 실행합니다.더욱 보강하기 위해 .

    타사 제품으로 취약성 데이터를 임포트하기 전에 NVD 및 CWE 임포트를 수행합니다. 외부 공급업체 라이브러리는 예약된 작업으로 업데이트됩니다. 외부 공급업체 통합에 대한 자세한 내용은 다음에서 취약성 대응 통합 통합 설명서를 참조하십시오.

    NVD 통합 찾기

    NVD 통합을 보려면 다음으로 이동하십시오. 취약성 대응 또는 애플리케이션 취약성 대응 > 관리 > 통합.

    기본 시스템에는 다음과 같은 통합이 포함됩니다.
    주:
    기본적으로 NIST 국가 취약성 데이터베이스 통합 - API(CVE 전용) 통합만 활성화되어 있습니다.
    표 1. NVD 통합
    통합 설명
    NIST 국가 취약성 데이터베이스 통합 - API(CVE만 해당) NIST NVD 취약성 데이터(CVE)만 검색합니다. 기본적으로 이 통합은 매일 실행되도록 자동으로 설정됩니다.
    NIST 국가 취약성 데이터베이스 통합 API(CPE 전용) NIST NVD에서 CPE 데이터를 검색합니다. 이 통합은 기본적으로 비활성 상태입니다.

    공식 이름 형식, 시스템에서 이름을 확인하는 방법, 텍스트와 테스트를 이름에 바인딩하기 위한 설명 형식을 포함하는 CPE 데이터를 캡처하려면 이 통합을 활성화합니다. 이 정보는 취약한 소프트웨어에 저장됩니다.

    이 통합은 매일 실행되도록 설정되며 기본적으로 비활성 상태입니다. 이 통합을 활성화하려면 다음 문서를 참조하십시오 NIST 국가 취약성 데이터베이스–API 활성화(CPE 전용).
    NIST 국가 취약성 데이터베이스 통합 API(매핑되지 않은 CPE) NIST NVD에서 가져온 CVE와 연결된 CPE 데이터를 검색합니다. 이 통합은 기본적으로 비활성 상태입니다.

    공식 이름 형식, 시스템에서 이름을 확인하는 방법, 텍스트와 테스트를 이름에 바인딩하기 위한 설명 형식을 포함하는 CPE 데이터를 캡처하려면 이 통합을 활성화합니다. 이 정보는 NVD 취약성 항목 기록 관련 목록에 저장됩니다. 이 통합은 요청 시 실행되도록 설정되며 기본적으로 비활성 상태입니다. 이 통합을 활성화하려면 다음 문서를 참조하십시오 NIST 국가 취약성 데이터베이스–API(매핑되지 않은 CPE) 활성화.
    중요사항:
    "NIST 국가 취약성 데이터베이스 통합-API(CVE 및 CPE)" 통합은 더 이상 사용되지 않습니다.

    통합 실행 상태는 다음 (국가 취약성 데이터베이스) NVD 통합 임포트 실행 상태 보기문서를 참조하십시오.