博客家

自动化工作流在ServiceNow与JFrog辐条集成

通过Sushrut Athavale, Mritunjay Kumar和Kristian Taernhed

8分钟阅读

自动化您的安全工作流程在ServiceNow与JFrog x射线说话

这篇博文更新于2022年9月30日

有什么新鲜事

JFrog与ServiceNow的集成正在不断发展和演变。在我们最新发布的集成版本中,我们添加了一长串新的操作,使DevOps和DevSecOps工程师能够使用ServiceNow FlowDesigner创建和自动化额外的工作流。额外的操作包括JFrog人工功能,因此我们将集成重命名为“JFrog Spoke”。辐条式集成支持可配置的“动作”,这些动作可以作为构建块来开发审批流程,加快管理任务的速度,并在使用JFrog时为新流程添加结构。最好的部分是无需编写一行代码或手动调用任何api就可以完成新的工作流。扩展的JFrog辐条集成将使团队能够以最少的工作量从JFrog中获得最大的收益。

有了这些新的操作,您可以使用JFrog Spoke集成来简化更多的工作流程,包括:

JFrog管理任务

JFrog Spoke现在可以用来构建审批流程,用于管理用户、组以及这些组可以通过权限目标访问的内容。作为JFrog管理员,这些审批流程可以从Slack和电子邮件转移到结构化表单和自动配置,从而节省了管理任务的时间,同时加快了审批过程。

JFrog工件管理

新的操作允许您创建或删除存储库,并移动、添加或删除工件。与我们现有的JFrog Xray操作一起,它使您能够创建流,以便将带有新发现的漏洞的工件自动转移到安全的存储库中,远离开发人员。这允许JFrog IT管理员确保只有安全的工件准备好并可供使用。要了解有关所有支持的动作以及如何开始使用JFrog与Spoke的更多信息,请前往我们的文档页面

最初的发布

在2022年,JFrog和ServiceNow进行了一系列有意义的对话DevSecOps以及行业如何从与it -运维工具的紧密集成中获益。“DevSecOps + ServiceOps”的理念是JFrog和ServiceNow正在探索的一个主题,今天,我们很高兴地宣布一个集成,它将进一步帮助软件开发团队自动化许多需要开始处理的任务安全性和许可证遵从性实时问题。

新的JFrog x射线辐条(可在ServiceNow IntegrationHub)也为JFrog Xray和Artifactory提供了构建块操作。这些构建块可以与其他辐条的操作混合,为您的公司提供真正定制和自动化的体验。

例如,JFrog Xray在你的应用组件中发现的任何CVE都可以作为一个事件发送到ServiceNow Flow Designer,以启动一个自动化的工作流,该工作流做的事情如下:

  • 将问题交给特定的团队成员解决
  • 触发审批工作流
  • 自动忽略某些类型的违规
  • 生成违规报告
  • 用自定义元数据标记工件或存储库

JFrog Spoke Integration还可以帮助团队对违反许可证的行为保持警惕,并自动执行工作流以进行响应。这使您能够满足审计需求,并避免因不当使用从开放源代码社区获得的代码段而受到惩罚。

JFrog Spoke Security Capabilities in ServiceNow

JFrog Spoke将您的JFrog平台连接到ServiceNow,这样您就可以通过在Flow Designer中创建的工作流自动修复安全和许可策略违规。

触发违反x射线策略的工作流

Xray对您指定的Artifactory存储库中的二进制文件执行常规扫描,并识别作为依赖项使用的包中的所有已知漏洞,以及它们的许可类型。您可以为Xray指定查找特定cve、严重性级别或您最关心的其他标准的规则。

当你在JFrog Xray中创建安全或许可策略基于这些规则,您可以指定一个自动操作来触发webhook当Xray发现该策略被违反时,通过JFrog平台事件服务。您将使用这个JFrog特性将违规事件消息从Xray发送到ServiceNow。

需要更多信息吗?
要了解如何创建x射线策略和手表, 查看此支持视频

使用Flow Designer,您可以使用来自Xray的事件消息来触发ServiceNow工作流,并通过连接到ServiceNow的任何操作生态系统工具执行自动响应序列。

Xray事件消息还在其JSON有效负载中包含有关策略违反的重要信息,您可以使用这些信息来创建复杂的多分支ServiceNow工作流。

例如,您是否希望在发现高CVE问题时向CISO办公室发送电子邮件?这是可以自动化的。当在特定的构建中发现问题时,您想要给开发团队发消息或发电子邮件吗?这也可以通过这个集成来实现。

从ServiceNow驱动JFrog动作

JFrog Spoke使您能够从ServiceNow工作流中执行Xray和Artifactory中的操作,以自动执行团队可能手动执行的许多步骤,以响应安全问题。例如,您可以在Artifactory、update中重新扫描工件和构建权限JFrog平台用户和组,新建忽略x射线中的规则,或管理自定义工件的JFrog属性

x射线-创建忽略规则

您可以将JFrog Spoke的JFrog操作与其他ServiceNow操作结合起来,以创建针对安全和许可证违规的丰富工作流响应。通过这种方式,JFrog Xray对您的关键任务软件供应链的监控和治理可以成为您的servicenow驱动的ITSM生态系统中的完全合作伙伴。让Xray成为您的servicenow驱动的ITSM生态系统中的一个全面的合作伙伴

示例ServiceNow工作流

下面的Flow Designer中的示例工作流展示了如何使用JFrog Spoke来响应安全问题。

示例ServiceNow工作流被设置为在收到来自Xray的安全策略违反事件消息时触发。

触发ServiceNow rest API

工作流的第一个动作是从事件webhook从Xray接收到的数据有效负载中创建一个违规记录。

x射线-网络钩动作

然后我们会用严重程度决定如何应对违规行为的信息。

安全级别信息

一个高严重性违规将在Xray中生成并导出一个新的报告,通过电子邮件通知响应团队,通过Slack通知CISO办公室,并在Jira中为开发人员创建一个新问题。

一个中等严重程度违例者将用自定义属性标记工件以“稍后调查”,通过电子邮件通知响应团队,并在Jira中创建一个新问题。

一个低严重性违规将在Xray中创建一个新的忽略规则,以防止将来通知此违规。

如何开始

您可以从ServiceNow集成中心获得JFrog Spoke。一旦安装到ServiceNow中,您需要通过添加JFrog身份令牌作为一组新的API密钥凭证,以及JFrog平台部署URL,将ServiceNow连接到您的JFrog平台帐户。

您还需要在JFrog平台中创建ServiceNow webhook,并设置Xray安全性和许可策略来触发该webhook。

详细信息请参见与ServiceNow Spoke文档的x射线集成

现在一切都准备好了,您可以通过流设计器创建ServiceNow工作流,该工作流由x射线事件消息触发!观看这个快速演示,看看你如何使用JFrog Xray Spoke的动作:

如果你想获得更多的帮助,或者你有更多的想法可以从JFrog平台添加,请发送电子邮件partner-support@www.si-fil.com

受欢迎的标签

试试JFrog平台

在云中或自托管

开始试验

预订演示