La importación de datos de resultados de análisis de vulnerabilidades desde sus herramientas de gestión de vulnerabilidades permite a Secure Code Warrior® descubrir información importante sobre cómo su programa de capacitación está mejorando su postura de seguridad, así como recomendaciones de capacitación dinámicas para perfeccionar y orientar su programa.
- Importar sus datos de vulnerabilidad
- Importar un archivo de mapeo de equipo
- Importar sus datos de vulnerabilidad: herramientas específicas
Importar sus datos de vulnerabilidad
Para importar los datos de sus hallazgos, deberá exportarlos desde la herramienta relevante que esté utilizando. En general, requerimos lo siguiente, teniendo en cuenta que algunos campos tendrán nombres o estructuras diferentes según el sistema de origen:
| Campo del sistema de origen | |
| ID del hallazgo | Esperamos 1 fila por cada hallazgo de vulnerabilidad |
| CWE | |
| Fecha de primera detección | |
| Fecha de última detección | |
| Gravedad | |
| Estado | |
| Escanear Tipo | Normalmente filtramos solo los hallazgos de SAST |
| ID de repositorio/aplicación/proyecto | Usamos esto para asignar vulnerabilidades a los equipos de desarrolladores que han trabajado en ellas. |
Importar un archivo de mapeo de equipo
En muchos casos, los equipos que se han configurado en su instancia de Secure Code Warrior podrían no asignarse limpiamente a los equipos (o grupos, o proyectos, o aplicaciones, etc.) en su herramienta de administración de vulnerabilidades. En este caso, puede proporcionarnos un archivo de mapeo de equipo para que podamos comprender qué vulnerabilidades en sus hallazgos deben atribuirse a qué grupos de usuarios en SCW. Esto
ayuda a ofrecer recomendaciones más específicas
el programa de capacitación. Para crear archivo de mapeo de equipo, simplemente cree un archivo CSV con las siguientes columnas| Nombre de la columna | Descripción |
| Repositorio (o aplicación, o proyecto, o grupo, etc.) | Esta columna debe contener los valores del campo relevante en los datos de vulnerabilidad que vamos a usar para mapear Hallazgos a los equipos de SCW. |
| Nombre del equipo | El equipo correspondiente de SCW. |
Importación de datos de vulnerabilidades: herramientas específicas
A continuación, se incluyen enlaces a documentación relevante para algunas herramientas comunes de gestión de vulnerabilidades. Si la suya no aparece en esta lista y necesita ayuda para obtener los datos de los hallazgos en el formato esperado, puede contactar con el equipo de soporte de su herramienta.
| detallado de problemas | |
| Checkmarx | Informes de resultados CSV globales |
| Armorcode | Administrar hallazgos |
| Veracode | Exportar datos desde la plataforma Veracode |
| OpenText / Fortify | Exportaciones de datos |
| Blackduck SRM | Generación de un informe de hallazgos |
Comentarios
0 comentarios
El artículo está cerrado para comentarios.