GitHub Application Vulnerability Integration
L’importation GitHub Application Vulnerability Integration de données de test statique de sécurité des applications (SAST) et d’analyse de la composition logicielle (SCA) pour vous aider à afficher les alertes de vulnérabilité dans les référentiels de votre GitHub environnement.
GitHub Application Vulnerability Integration
Le collecte GitHub Application Vulnerability Integration les données du scanner et les met à la disposition du Now Platform®. Il s’intègre facilement à la ServiceNow® Réponse aux vulnérabilités des applications fonctionnalité de mappage des vulnérabilités et GitHub des Réponse aux vulnérabilités alertes tierces dans votre instance.
L’environnement GitHub prend en charge plusieurs organisations. Ces organisations, sur site et en entreprise, peuvent contenir différents départements, tels que l’ingénierie, la qualité, la documentation, etc. Chaque organisation, à son tour, peut prendre en charge plusieurs référentiels. Après avoir importé les données de votre application avec l’intégration de GitHub référentiels, vous pouvez importer des données de vulnérabilité et d’alerte à partir de ces référentiels. Les données importées sont traitées comme une application dans l’application Réponse aux vulnérabilités des applications . Lorsque les scanners détectent des vulnérabilités et génèrent des alertes pour les référentiels, des vulnérabilités sont créées dans Réponse aux vulnérabilités des applications.
Il existe un utilisateur « Exécuter en tant que » configuré pour chaque enregistrement d’intégration. La valeur par défaut pour cet utilisateur est VR. Système. Ne changez pas cette valeur.
Versions disponibles
| Version de mise en production | Notes de mise en production |
|---|---|
| Si vous avez l’intention d’effectuer une mise à niveau vers une version compatible avec , veuillez sélectionner une version commençant par 30.x lors de l’installation ou de la mise à niveau. | Application Vulnerability Response release notes Pour plus d’informations sur la compatibilité, consultez KB0856498 Changements apportés à la matrice de compatibilité de Réponse aux vulnérabilités et au schéma de mise en production |
| Si vous n’avez pas l’intention d’effectuer une mise à niveau vers une version compatible avec , veuillez sélectionner une version antérieure à 30.x lors de l’installation ou de la mise à niveau. |
Intégrations de GitHub
| Intégration | Description |
|---|---|
| GitHub Intégration des référentiels | À partir de la version 1.1, importez toutes les données d’application pour vos GitHub comptes sur site et dans le cloud (entreprise). L’intégration importe les applications à partir des référentiels que vous avez configurés pour une organisation (sur site) ou à partir de votre environnement d’entreprise (cloud). Exécutez cette intégration avant d’exécuter les autres GitHub intégrations, car elles dépendent des données de l’application actuelle importées à partir de l’intégration des référentiels. |
| GitHub Intégration de CodeScan | Récupère les alertes de vulnérabilité de l’analyse de code à partir des référentiels pour détecter les vulnérabilités de sécurité et les erreurs de GitHub codage. Les données importées sont mappées aux résultats SAST dans votre instance. |
| GitHub Intégration Dependabot | Récupère les alertes Dependabot pour les dépendances avec des vulnérabilités connues à partir des référentiels. Les données importées sont mappées aux résultats SCA dans votre instance. |
| GitHub Analyse secrète | Récupère les secrets du code de votre entreprise ainsi que les résultats des tests de sécurité des applications. Les données sont mappées aux résultats SCA dans votre instance. |
| GitHub Emplacement de l’analyse secrète | Récupère l’emplacement et les numéros de ligne pour les secrets analysés dans le code de votre organisation afin d’aider vos développeurs à y remédier. |
Chargement de SBOM fichiers à Now Platform® partir de vos GitHub référentiels
Déterminez si SBOM les fichiers générés dans vos pipelines CI/CD (intégration continue et livraison/déploiement continus) ont été mis en file d’attente avec succès dans votre Now Platform® instance.
- Protégez vos environnements contre les composants potentiellement dangereux pendant les cycles de développement logiciel grâce aux GitHub actions que vous lancez à partir de votre GitHub environnement.
- Obtenez toutes les actions requises GitHub pour SBOM le chargement dans GitHub Marketplace.
Les SBOM applications sont nécessaires pour charger SBOM des fichiers. Consultez Explorer Nomenclature logicielle pour plus d'informations.
Affichage des données importées
Les données d’application importées à partir de l’intégration des référentiels GitHub sont affichées dans la table Applications découvertes [sn_vul_app_release]. Exécutez d’abord cette intégration.
L’intégration des référentiels importe les balises et les rubriques que vous avez configurées pour un référentiel dans votre GitHub compte à partir du menu Paramètres. Toutes les propriétés personnalisées se trouvent dans le menu sous votre référentiel. Les valeurs que vous définissez pour les propriétés sont importées sous forme de paires clé-valeur. Pour plus d’informations sur l’emplacement d’affichage de ces informations dans votre instance, reportez-vous à la section Afficher l’état de l’exécution de l’importation et les GitHub Application Vulnerability Integration données du référentiel importé.
Les données importées (résultats) de l’intégration GitHub Dependabot sont affichées dans les tableaux suivants.
- Applications détectées [sn_vul_app_release].
- Synthèses de numérisation de vulnérabilité de l’application [sn_vul_app_vul_scan_summary].
- Éléments vulnérables de l’application [sn_vul_app_vulnerable_item].
- Packages [sn_vul_app_package].
Les données importées à partir de GitHub CodeScan Integration sont affichées dans les tables suivantes.
- Applications détectées [sn_vul_app_release].
- Synthèses de numérisation de vulnérabilité de l’application [sn_vul_app_vul_scan_summary].
- Entrées de vulnérabilité de l’application [sn_vul_app_vul_entry].
- Éléments vulnérables de l’application [sn_vul_app_vulnerable_item].