Veracode Vulnerability Integration

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기7분

    • 애플리케이션과의 Veracode 통합은 취약성 대응Veracode 제품에서 임포트한 데이터를 사용하여 코드 내 결함의 영향과 우선순위를 파악하는 데 도움을 줍니다.

    Veracode Vulnerability Integration

    Veracode 제품은 DAST(동적 애플리케이션 보안 테스트), SAST(정적 애플리케이션 보안 테스트) 및 수동 스캐너 데이터를 수집하고 해당 데이터를 Now Platform®. 타사 취약성을 매핑하는 기능과 취약성 대응 쉽게 통합되어 애플리케이션 취약성 대응 인스턴스의 데이터를 보강합니다.

    취약성 대응v19.0부터 소프트웨어 애플리케이션의 약점을 식별하는 데 도움이 되는 소프트웨어 구성 분석(SCA) 취약성 및 소프트웨어 자재 명세서 (SBOM) 취약성 데이터를 임포트할 수 있습니다. 자세한 내용은 소프트웨어 자재 명세서 탐색 문서를 참조하십시오.

    공유 API는 DAST, SAST, SCA 데이터 및 수동 침투 테스트 결과를 수집합니다.

    각 통합 기록에 대해 구성된 실행 사용자가 있습니다. 이 사용자의 기본값은 VR입니다. 시스템. 이 값은 변경하지 마십시오.

    매일 예약된 작업은 나열된 순서대로 통합을 자동으로 호출합니다. 예약된 개별 작업을 수동으로 실행할 수도 있습니다. 예약된 작업은 인스턴스를 다른 취약성 관리 시스템과 동기화된 상태로 유지하여 취약성 정정 수명주기를 단순화합니다.

    에서 자세한 내용 가져오기 Veracode

    v4.2부터 애플리케이션 취약 항목[sn_vul_app_vulnerable_item] 테이블 또는 취약성 대응 작업 공간의 목록 뷰에서 소스로 있는 Veracode 애플리케이션 취약 항목(AVIT)에 대한 상세 정보 가져오기를 선택하여 다음 Veracode 데이터를 확인합니다.

    • 동적 애플리케이션 보안 테스트(DAST) 스캔에 대한 HTTP 소스 요청 및 소스 응답 상세 정보가 HTTP 요청/응답 관련 목록에 표시됩니다.
    • Veracode의 솔루션 권장 사항이 결과 관련 목록에 표시됩니다.
    • HTTP 소스 요청, 소스 응답 및 권장 사항이 취약성 대응 취약성 대응 작업 공간의 상세 정보 탭에 표시됩니다.
    • 설명 열은 애플리케이션 취약 항목 [sn_vul_app_vulnerable_item] 테이블에서 지원됩니다.

    사용 가능한 버전

    릴리스 버전 릴리스 정보

    Veracode v4.3

    Veracode v4.2

    Veracode v4.1

    		 Application Vulnerability Response release notes

    호환성 정보는 KB0856498 Vulnerability Response 호환성 매트릭스 및 릴리스 스키마 변경을 참조하십시오.

    사용자 그룹 및 역할

    Veracode Vulnerability Integration 시스템 관리자[admin]가 설치하고 App-Sec Manager 그룹의 구성원이 구성합니다. 자세한 내용은 애플리케이션 취약성 대응 사용자 그룹 및 역할 문서를 참조하십시오.

    Veracode Vulnerability Integration

    취약성 통합을 보려면 Veracode 다음으로 이동하십시오. 모두 > Veracode Vulnerability Integration > 통합.

    기본 시스템에는 다음과 같은 통합이 포함됩니다.

    표 1. Veracode Vulnerability Integration
    통합 설명
    v4.1부터: Veracode 프로젝트 연결 통합 이 통합은 기본적으로 활성화됩니다. 에서 각 애플리케이션에 Veracode대해 연결된 모든 프로젝트를 검색합니다.
    애플리케이션의 애플리케이션에 여러 프로젝트가 Veracode 있을 수 있습니다. 이 통합에서 임포트한 데이터는 다음 기록에 표시됩니다.
    • 마지막 SCA 검사 날짜, 앱 생성 날짜앱 업데이트 날짜가검색된 애플리케이션의 기록에 나열됩니다.
    • 애플리케이션 취약성 검사 요약 기록 및 애플리케이션 취약 항목(AVIT)에 소스 SDLC 상태 (소프트웨어 개발 수명 주기)가 표시됩니다.
    • 소스 악용 가능성 은 애플리케이션 취약한 항목(AVI) 기록에 표시됩니다.
    Veracode 애플리케이션 목록 통합(JSON) 이 통합은 기본적으로 비활성 상태입니다. 애플리케이션 스캐너 데이터(취약성, 메타데이터)를 검색하고 Veracode 애플리케이션 데이터를 보강합니다.

    JSON 기반 API를 Veracode 통해 스캔 기록을 검색합니다.
    Veracode 애플리케이션 목록 통합(XML) 이 통합은 기본적으로 비활성 상태입니다. 이 통합의 XML 기반 버전이 비활성화되었습니다(사용하지 않음). 애플리케이션 스캐너 데이터(취약성, 메타데이터)를 검색하고 Veracode 애플리케이션 데이터를 보강합니다. 이 통합은 매일 00:00:00에 실행되도록 설정됩니다.
    주:
    JSON 기반 API Veracode 는 애플리케이션 목록을 검색하는 데 사용됩니다. 이 API는 이러한 애플리케이션에 대한 "마지막 정책 준수 검사 날짜"를 임포트하여 이러한 애플리케이션이 에서 마지막으로 검사 Veracode된 시기를 나타냅니다.
    Veracode 소프트웨어 자재 명세서 (SBOM) 통합
    버전 4.3 Veracode Vulnerability Integration 에는 다음과 같은 Veracode SBOM 파일 개선 사항이 포함되어 있습니다.
    • SBOM Response를 설치한 경우 업로드하는 SBOM 파일에 대해 Veracode 발견된 취약성을 포함할 수 있습니다.
    • Veracode 이(가) SBOM 파일에 대한 자재 명세서[sn_sbom_doc] 테이블에 있는 기록의 소스 필드에 매핑됩니다 Veracode .

    이 통합은 기본적으로 활성화됩니다. v4.2부터 생성된 Veracode CycloneDX 및 SPDX 형식의 파일을 임포트 소프트웨어 자재 명세서 하고 인스턴스에서 구문 분석하기 위해 큐에 대기합니다. 이 데이터를 임포트하고 보려면 애플리케이션이 설치되어 있어야 합니다 소프트웨어 자재 명세서 .
    Veracode 검사 요약 통합(JSON)

    이 통합은 기본적으로 비활성 상태입니다. JSON 기반 API를 Veracode 통해 스캔 기록을 검색합니다. 이 통합은 XML 기반 API 통합을 대체합니다. 이 플러그인은 체인으로 연결되고 활성화되면 애플리케이션 목록 통합을 따릅니다 Veracode .
    Veracode 검사 요약(XML)

    이 통합은 기본적으로 비활성 상태입니다. 이 통합의 XML 기반 버전이 비활성화되었습니다(사용하지 않음). 에서 스캔 기록을 조회합니다 Veracode. 이 통합은 연결되며 활성화되면 애플리케이션 목록 통합을 따릅니다 Veracode .

    주:
    활성화될 때 애플리케이션 목록 통합을 자동으로 따릅니다 Veracode . 의 Veracode애플리케이션에 대한 "마지막 정책 준수 확인 날짜"를 사용하여 이 통합은 이 통합의 "delta_start_time" 후에 스캔된 애플리케이션에 대해서만 데이터를 검색합니다.
    Veracode 애플리케이션 취약한 항목 JSON 통합

    v4.2부터 총 처리 시간, 사전 및 사후 통합 실행 프로세스의 평균 시간과 같은 상세 정보, 애플리케이션 취약한 항목 통합에 대한 통합 실행 기록에 대한 보고서를 볼 수 있습니다.

    이 통합은 기본적으로 비활성 상태입니다. 에서 XML 기반 통합 Veracode보다 더 많은 취약성 데이터가 포함된 검사 결과를 검색합니다. AVI를 삽입하고 외부 공급업체 취약성 데이터를 보강합니다.
    Veracode 애플리케이션 취약한 항목 통합(XML)

    v4.2부터 총 처리 시간, 사전 및 사후 통합 실행 프로세스의 평균 시간과 같은 상세 정보, 애플리케이션 취약한 항목 통합에 대한 통합 실행 기록에 대한 보고서를 볼 수 있습니다.

    이 통합은 기본적으로 비활성 상태입니다. 에서 Veracode검사 결과를 검색하고 AVIT(애플리케이션 취약한 항목)를 삽입하며 외부 공급업체 취약성 데이터를 보강합니다. 기본적으로 스캐너 기록이 종결 상태인 경우 AVIT가 생성되지 않습니다. 기존 AVIT는 여전히 업데이트됩니다.

    이 통합은 연결되며 활성화되면 검사 요약 통합을 따릅니다 Veracode . XML 기반 API는 검사 요약 JSON 통합에 Veracode 사용되지 않습니다.

    주:
    Veracode 검사 요약 통합을 자동으로 따릅니다. 의 Veracode애플리케이션에 대한 "마지막 정책 준수 확인 날짜"를 사용하여 이 통합은 이 통합의 "delta_start_time" 후에 스캔된 애플리케이션에 대해서만 데이터를 검색합니다.
    Veracode 범주 통합 이 통합은 기본적으로 비활성 상태입니다. 에서 Veracode향상된 범주 데이터를 검색합니다.
    Veracode CWE 통합

    이 통합은 기본적으로 활성화됩니다. 위협 정보 및 정정 권장 사항에 대한 특정 CWE(일반적인 약점 열거) 데이터를 검색합니다 Veracode . 이러한 데이터는 애플리케이션 취약성 항목 기록에서 채워지고 업데이트됩니다.

    이 CWE 통합은 애플리케이션에 대해 활성화하는 CWE Comprehensive 2000 Integration의 취약성 대응 예약된 작업과는 독립적으로 작동합니다.

    CWE 통합 및 CWE Comprehensive 2000 통합이 Veracode 활성화되어 있으면 데이터가 복제되지 않습니다.
    Veracode DevOps 통합 이 통합은 기본적으로 비활성 상태입니다. 통합은 의 애플리케이션 취약성 대응애플리케이션 취약성 통합 목록에서 볼 수 있습니다. DevOps 변경 속도 라이센스가 있는 경우 이 기능은 DevOps 사용자가 타사 취약성 검사에 대한 요약 상세 정보를 보기 위해 SecOps 라이센스가 없어도 사용할 수 있도록 구성되어 있습니다. 에 애플리케이션 취약성 대응대한 영향이나 변경 사항은 없습니다.

    통합 실행 상태는 문서를 참조하십시오 Veracode 애플리케이션 취약성 통합 임포트 실행 상태 보기.

    외부 공급업체 취약성의 데이터를 보려면 을 참조하십시오 취약성 라이브러리 보기.