Configurar o Veracode Vulnerability Integration

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Antes de executar a integração na sua instância, as etapas de instalação e configuração devem ser concluídas para que o produto Veracode se integre corretamente com Application Vulnerability Response. Esta aplicação está disponível como uma assinatura separada.

    Antes de Iniciar

    Conclua a check-list de configuração a seguir antes da instalação. Essas tarefas de configuração são necessárias para uma instalação e configuração sem problemas.
    Nota:
    Este processo se aplica somente a aplicações que são baixadas para instâncias de produção. Se você estiver baixando aplicações para instâncias de subprodução ou desenvolvimento, não será necessário obter direitos. Prossiga para Ativar uma aplicação ServiceNow Store.
    Tarefas de configuração Descrição
    Verifique se a aplicação Vulnerability Response está instalada e ativada.

    Para verificar se esta aplicação está ativada, navegue até Gestão de assinaturas > Assinaturas em sua instância. A lista exibe as assinaturas que sua organização comprou.

    Se a aplicação não estiver instalada e ativada, consulte Como instalar Vulnerability Response.
    Verifique se a aplicação Vulnerability Response Integration with Veracode está instalada e ativada.

    Para verificar se esta aplicação está ativada, navegue até Gestão de assinaturas > Assinaturas em sua instância. A lista exibe as assinaturas que sua organização comprou.

    Se a aplicação não estiver instalada e ativada, consulte Instalar o Vulnerability Response Integration [ ServiceNow com Veracode.
    Verifique se você tem as funções ServiceNow necessárias para sua instância. As funções a seguir são necessárias para a configuração e a verificação dos resultados esperados:
    • Se ainda não estiver atribuído, o administrador do sistema [admin] instalará o app e atribuirá usuários ao grupo de usuários do App-Sec Manager.
    • O gerente de App-Sec supervisiona a configuração e verifica os resultados esperados.

    Para a integração de vulnerabilidade da aplicação Veracode, tenha seu ID de API e chave de API prontos.

    Entre em contato com Veracode para obter oID da API e a chaveda API. Consulte Preparando para o Veracode Vulnerability Integration.

    A partir da versão 4.0, se você estiver usando o Veracode Vulnerability Integration, os testes de avaliação de invasão no Veracode Vulnerability Integration serão descobertas manuais de Veracode. Essas descobertas não estão vinculadas a nenhuma solicitação de avaliação de teste de invasão configurada em Application Vulnerability Response. Para obter mais informações sobre solicitações de teste de invasão em Application Vulnerability Response, consulte Configurar teste de invasão.
    Função necessária: grupo de usuários do App-Sec Manager

    Procedimento

    1. Navegar até Todos > Integração de vulnerabilidade da Veracode > Configuração.
    2. Preencha os campos ID da API e Chave de API.
    3. Escolha seus resultados de teste.
      OpçãoDescrição
      Versão 4.0:
      1. Selecione os tipos de dados DAST ou SAST a serem incluídos na importação.
        Nota:
        Você pode escolher um ou outro, ou ambos, mas deve selecionar pelo menos um.
      2. Selecione SCA para importar vulnerabilidades de Análise de composição de software (SCA).
      3. Selecione Incluir manual para importar resultados de testes de invasão manuais de Veracode. AVIs são criados para esses resultados.
      Versão 3.0 Selecione os tipos de dados DAST ou SAST a serem incluídos na importação.
      Nota:
      Você pode escolher um ou outro, ou ambos, mas deve selecionar pelo menos um.
      Versão 1.0:

      Os resultados de testes de segurança da aplicação dinâmicos são selecionados, por padrão.
    4. Adicione o nível de severidade Veracode para filtrar os dados importados.
      Este valor é importado do Veracode. Você pode adicionar vários valores ao campo. Se preenchida, a importação coletará somente dados que correspondam aos níveis de Severidade que você adicionou.
    5. Salve e valide suas escolhas.
      OpçãoDescrição
      Versão 3.0:
      Clique em Salvar e testar credenciais.
      Nota:
      A configuração é concluída com sucesso, a menos que uma mensagem de erro seja exibida. Se uma mensagem de erro for exibida durante a configuração, insira novamente seus dados.
      Versão 1.0:

      Clique em Salvar.

      Verifique a configuração bem-sucedida clicando em Testar credenciais.

      Nota:
      A configuração é concluída com sucesso, a menos que uma mensagem de erro seja exibida. Se uma mensagem de erro for exibida durante a configuração, insira novamente seus dados.
    6. Selecione como você deseja gerenciar exceções e falsos positivos para AVIs na importação.
      Opções para gerenciar AVIs na importação com ServiceNow Gestão de exceções e fluxos de trabalho de Falso-positivo são ativadas por padrão. Os fluxos de trabalho são acionados com base em como os estados de origem nos AVIs são mapeados em sua instância. Para obter um exemplo de caso de uso, consulte Como gerenciar o mapeamento de estado para adiamentos e falsos positivos no Application Vulnerability Response.
      Ativado
      Gerenciar exceções no ServiceNow
      Deixe esta opção ativada se quiser fazer a triagem de AVIs importados marcados para o estado Adiado.

      AVIs com estados de Origem que normalmente são mapeados para um estado Adiado em sua instância são mapeados para Aberto.

      Você solicita uma exceção do registro AVI.

      Gerenciar falsos positivos no ServiceNow
      Deixe esta opção ativada se quiser fazer a triagem de AVIs importados com estados de origem marcados como Falso-positivo ou Possível falso-positivo.

      AVIs com esses estados de origem que normalmente são mapeados para um estado Closed em sua instância são mapeados para Open.

      Você solicita um falso-positivo do registro AVI.
      Desativado

      Desative uma ou ambas as caixas de seleção se quiser preservar os estados de origem importados do scanner.

      Esses AVIs são mapeados para os estados Meta e Motivo da meta conforme são importados, mas não são triados pelos fluxos de trabalho de exceção e falso-positivos. As ações Solicitar exceção e Falso-positivo não são visíveis em AVIs.
    7. Selecione Salvar e testar credenciais.

    O que Fazer Depois

    Se o seu ambiente requer importações separadas por domínio, consulte Criar importações separadas por domínio para uma integração.

    Na instalação inicial, consulte Configurar Application Vulnerability Response. para obter mais instruções.

    Após a instalação inicial, consulte as modificações em Veracode Vulnerability Integration modificações e atividades.