Configurer le Veracode Vulnerability Integration

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Avant d’exécuter l’intégration sur votre instance, vous devez terminer les étapes d’installation et de configuration afin que le produit s’intègre Veracode correctement à Réponse aux vulnérabilités des applications. Cette application est disponible sous forme d’abonnement distinct.

    Avant de commencer

    Complétez la liste de vérification de configuration suivante avant l’installation. Ces tâches d’installation sont nécessaires pour une installation et une configuration fluides.
    Remarque :
    Ce processus s’applique uniquement aux applications téléchargées vers les instances de production. Si vous téléchargez des applications vers des instances de non-production ou de développement, il n’est pas nécessaire d’obtenir des autorisations. Passez à .Activer une ServiceNow Store application
    Configurer les tâches Description
    Vérifiez que l’application Réponse aux vulnérabilités est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, reportez-vous à la section .
    Vérifiez que l’intégration à Veracode l’application Réponse aux vulnérabilités est installée et activée.

    Pour vérifier que cette application est activée, accédez à Gestion des abonnements > Abonnements dans votre instance. La liste affiche les abonnements que votre organisation a achetés.

    Si l’application n’est pas installée et activée, Installer l’intégration de Réponse aux vulnérabilités ServiceNow avec Veracode reportez-vous à la section .
    Vérifiez que vous disposez des rôles requis ServiceNow pour votre instance. Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • Si ce n’est pas déjà fait, l’administrateur système [admin] installe l’application et affecte les utilisateurs au groupe d’utilisateurs Gestionnaire de sécurité d’application.
    • Le gestionnaire App-Sec supervise la configuration et vérifie les résultats attendus.

    Pour l’intégration de vulnérabilité de l’application Veracode , préparez votre ID API et votre clé API .

    Contactez Veracode pour obtenirl’ID API et la clé API. Voir Préparation du Veracode Vulnerability Integration.

    À partir de la version 4.0, si vous utilisez le Veracode Vulnerability Integration, les tests d’évaluation de pénétration dans le Veracode Vulnerability Integration sont des résultats manuels de .Veracode Ces résultats ne sont pas liés à des demandes d’évaluation de test de pénétration que vous configurez dans Réponse aux vulnérabilités des applications. Pour plus d’informations sur les demandes de test de pénétration dans , reportez-vous à Réponse aux vulnérabilités des applications.Configurer le test de pénétration
    Rôle requis : App-Sec Manager user group

    Procédure

    1. Accédez à Tous > Intégration de vulnérabilité Veracode > Configuration.
    2. Renseignez les champs ID API et Clé API .
    3. Choisissez vos résultats de test.
      OptionDescription
      Version 4.0 :
      1. Sélectionnez les types de données DAST ou SAST à inclure dans l’importation.
        Remarque :
        Vous pouvez choisir l’un ou l’autre, ou les deux, mais vous devez en sélectionner au moins un.
      2. Sélectionnez SCA pour importer les vulnérabilités SCA (Software Composition Analysis).
      3. Sélectionnez Inclure manuel pour importer les résultats des tests de pénétration manuels à partir de Veracode. Des AVIT sont créés pour ces résultats.
      Version 3.0 Sélectionnez les types de données DAST ou SAST à inclure dans l’importation.
      Remarque :
      Vous pouvez choisir l’un ou l’autre, ou les deux, mais vous devez en sélectionner au moins un.
      Version 1.0 :

      Les résultats des tests de sécurité des applications dynamiques sont sélectionnés par défaut.
    4. Enregistrez et validez vos choix.
      OptionDescription
      Version 3.0 :
      Cliquez sur Enregistrer et tester les informations d’identification.
      Remarque :
      La configuration est terminée avec succès à moins qu’un message d’erreur ne s’affiche. Si un message d’erreur s’affiche pendant la configuration, saisissez à nouveau vos données.
      Version 1.0 :

      Cliquez sur Enregistrer.

      Vérifiez la configuration réussie en cliquant sur Tester les informations d’identification.

      Remarque :
      La configuration est terminée avec succès à moins qu’un message d’erreur ne s’affiche. Si un message d’erreur s’affiche pendant la configuration, saisissez à nouveau vos données.
    5. À partir de la version 4.3, choisissez ou vérifiez les paramètres des paramètres suivants.
      ParamètreDescription
      Région de l'API Sélectionnez une région dans la liste.
      Délai d'attente de l'API La valeur par défaut est 30K. Vous préférez peut-être laisser ce champ dans son paramètre par défaut.
      Inclure les vulnérabilités SBOM

      Sélectionnez cette option pour inclure toutes les vulnérabilités ingérées par les Veracode intégrations dans les Veracode SBOM fichiers que vous chargez.

      Laissez le champ vide afin que Veracode les vulnérabilités ne soient pas analysées sur Veracode SBOM les fichiers.
    6. Sélectionnez Enregistrer et tester les informations d’identification.

    Que faire ensuite

    Si votre environnement nécessite des importations séparées par domaine, reportez-vous à la section .

    Lors de l’installation initiale, reportez-vous à pour plus d’instructions Configurer Réponse aux vulnérabilités des applications .

    Après l’installation initiale, pour les modifications, reportez-vous à Veracode Vulnerability Integration Modifications et activités.