博客家

使用JFrog Spoke集成自动化ServiceNow中的工作流

通过Sushrut Athavale, Mritunjay Kumar和Kristian Taernhed

8分钟阅读

使用JFrog Xray Spoke在ServiceNow中自动化您的安全工作流

本博客已于2022年9月30日更新

有什么新鲜事

JFrog与ServiceNow的集成正在成长和发展。在我们集成的最新版本中,我们添加了一长列的新操作,使DevOps和DevSecOps工程师能够使用ServiceNow FlowDesigner创建和自动化额外的工作流。附加的操作包括JFrog Artifactory功能,因此我们将集成重命名为简单的“JFrog Spoke”。Spoke集成支持可配置的“动作”,这些动作作为构建块,用于开发审批流,加快管理任务,并在使用JFrog时向新流程添加结构。最好的部分是,创建新的工作流无需编写一行代码或手动调用任何api即可完成。扩展的JFrog Spoke集成将使团队能够以最少的工作量获得JFrog的最大收益。

有了这些新的操作,您可以使用JFrog Spoke集成来精简更多的工作流程,包括:

JFrog管理任务

JFrog Spoke现在可以用来构建审批流,用于管理用户、组以及这些组可以通过权限目标访问的内容。作为JFrog管理员,这些审批流程可以从Slack和电子邮件转移到结构化表单和自动化配置中,在加快审批过程的同时节省管理任务的时间。

JFrog工件管理

新的操作允许您创建或删除存储库,以及移动、添加或删除工件。与我们现有的JFrog Xray操作一起,它使您能够创建流程,自动将带有新发现漏洞的工件转移到安全的存储库中,而不需要开发人员。这使得JFrog IT管理员可以确保只有安全的构件是可以使用的。要了解更多关于所有支持的动作以及如何开始使用带有Spoke的JFrog,请访问我们的文档页面

最初的发布

2022年,JFrog和ServiceNow围绕状态进行了一系列有意义的对话DevSecOps以及该行业如何从与it运营工具的更紧密集成中受益。“DevSecOps + ServiceOps”是JFrog和ServiceNow正在探索的一个主题,今天,我们兴奋地宣布将进一步帮助软件开发团队自动化许多需要开始处理的任务安全性和许可证遵从性实时问题。

新的JFrog x射线辐条(可在ServiceNow IntegrationHub)也为JFrog Xray和Artifactory提供了构建块操作。这些构建块可以与其他辐条的动作混合,为您的公司提供真正定制的和自动化的体验。

例如,JFrog Xray在您的应用程序组件中发现的任何CVE都可以作为事件发送到ServiceNow Flow Designer,以启动一个自动化的工作流,做以下事情:

  • 将问题发送给特定的团队成员解决
  • 触发审批工作流
  • 自动忽略某些类型的违规
  • 生成违规报告
  • 用自定义元数据标记工件或存储库

JFrog Spoke Integration还可以帮助团队警惕许可证遵从性违反,并使工作流自动化以作出响应。这使您能够满足审计要求,并避免因不当使用从开放源码社区获得的代码段而受到惩罚。

ServiceNow中的JFrog Spoke安全功能

JFrog Spoke将您的JFrog平台连接到ServiceNow,以便您可以通过在Flow Designer中创建的工作流自动纠正安全性和许可证策略违反。

触发违反x射线政策的工作流程

Xray对指定的Artifactory存储库中的二进制文件执行常规扫描,并识别作为依赖项使用的包中的所有已知漏洞,以及它们的许可类型。您可以为Xray指定规则,以查找特定的cve、严重级别或您最关心的其他标准。

当你在JFrog Xray中创建安全或许可策略根据这些规则,您可以指定一个自动操作来触发webhook当Xray发现策略被违反时,通过JFrog平台事件服务。您将使用这个JFrog特性从Xray向ServiceNow发送违规事件消息。

需要更多信息?
要了解如何创建x射线策略和手表, 查看此支持视频

使用Flow Designer,您可以使用来自Xray的事件消息来触发ServiceNow工作流,并通过连接到ServiceNow的任何操作生态系统工具执行自动响应序列。

Xray事件消息还在其JSON有效负载中包含了关于策略违反的重要信息,您可以使用这些信息创建复杂的、多分支的ServiceNow工作流。

例如,当发现高CVE问题时,您是否要给CISO办公室发电子邮件?这是可以自动化的。当在特定的构建中发现问题时,您是否希望向开发团队发送消息或电子邮件?这也可以通过这种整合来实现。

从ServiceNow驱动JFrog动作

JFrog Spoke允许您从ServiceNow工作流中执行Xray和Artifactory中的操作,以自动化团队可能手工执行的许多步骤,以响应安全问题。例如,您可以在Artifactory中重新扫描工件和构建,更新权限JFrog平台用户和组,创造新的忽略Xray中的规则,或管理自定义工件的JFrog属性

x射线-创建忽略规则

您可以将JFrog Spoke的JFrog操作与其他ServiceNow操作结合起来,以创建针对安全性和许可证违反的丰富工作流响应。通过这种方式,JFrog Xray对关键任务软件供应链的监视和治理可以成为servicenow驱动的ITSM生态系统中完全有效的合作伙伴。让Xray成为servicenow驱动的ITSM生态系统中完全有效的合作伙伴

示例ServiceNow工作流

下面的Flow Designer中的示例工作流展示了如何使用JFrog Spoke来响应安全问题。

示例ServiceNow工作流被设置为在收到来自Xray的安全策略违反事件消息时触发。

触发ServiceNow rest API

工作流的第一个动作从从Xray的事件webhook中接收到的数据有效负载中创建一个违规记录。

x射线- webhook动作

然后我们将使用严重程度决定如何应对违规行为的信息。

安全级别信息

一个高严重性违规行为将在Xray中生成并导出一个新的报告,通过电子邮件通知响应团队,通过Slack通知CISO办公室,并在Jira中为开发人员创建一个新问题。

一个中等严重程度违例将用自定义属性标记工件以“稍后进行调查”,通过电子邮件通知响应团队,并在Jira中创建一个新问题。

一个低严重性违例将在Xray中创建一个新的忽略规则,以防止将来通知该违例。

如何开始

您可以从ServiceNow集成中心获得JFrog Spoke。一旦安装到ServiceNow中,您将需要通过添加您的JFrog身份令牌作为一组新的API密钥凭证,以及您的JFrog平台部署URL,将ServiceNow连接到您的JFrog平台帐户。

你还需要在你的JFrog平台中创建一个ServiceNow webhook,并设置你的Xray安全和许可策略来触发那个webhook。

详细信息请参见x射线集成与ServiceNow Spoke文档

现在一切都准备好了,您可以通过流设计器创建由Xray事件消息触发的ServiceNow工作流!观看这个快速演示,了解如何使用JFrog Xray Spoke中的动作:

如需更多帮助,或如果您有更多的想法从JFrog平台添加更多的行动,请发送电子邮件partner-support@www.si-fil.com

受欢迎的标签

试试JFrog平台

在云端或自托管

开始试验

预约一个演示