ServiceNow整合Snyk開源軟體漏洞偵測工具

雲端服務供應商ServiceNow投資新創資安公司Snyk，同時還整合Snyk開源軟體漏洞解決方案，使用戶能夠更簡單地修復應用程式中的安全問題。根據華爾街日報的報導，ServiceNow拿出2,500萬美元購買Snyk的股份。

ServiceNow此舉等於擴大與Snyk的合作關係，Snyk執行長Peter McKay提到，ServiceNow投入的不僅是單純的資本，該公司已經從原本的客戶、合作夥伴，成為Snyk的策略投資者。

Synk也在此時宣布，ServiceNow將在其Application Vulnerability Response解決方案當中整合Snyk Open Source，使應用程式安全團隊能夠探索開源軟體相依元件的漏洞，掌握組織的安全概況，並且快速修復漏洞。Snyk提到，當前70％到90％的應用程式都內含開源軟體，不少駭客利用開源程式碼的漏洞，發動軟體供應鏈和勒索軟體攻擊。

ServiceNow和Snyk藉由整合軟體組合分析，追蹤組織從開發到生產階段的所有開源軟體漏洞，更快的修補和協作，以便進一步降低風險。雙方工具的整合，可縮短發現漏洞到完成修補之間的時間差，藉由Snyk問題自動建立ServiceNow支援工單並進行同步，加速漏洞的處理，並且綜合ServiceNow風險計分系統和Snyk資安情報系統，計算出漏洞風險值與決定漏洞的優先順序。

若要使用這項整合安全功能，用戶可以從ServiceNow Store下載Snyk Security for Application Vulnerability Response應用程式，並在ServiceNow執行個體中進行操作，根據組織、專案、嚴重性、語言、漏洞利用成熟度，以及最低和最高優先等級分數，從Snyk Open Source服務中，選擇擷取漏洞掃描結果的頻率，同時設定想要匯入的掃描資料。

Snyk Open Source運用軟體組態分析技術，持續監控用戶的專案和部署程式碼中存在的漏洞，所發現的問題都會匯入ServiceNow Application Vulnerability Response，成為應用程式漏洞項目。Snyk漏洞計算工具會自動確認漏洞項目的優先等級，衡量嚴重性和對重要應用程式的影響。ServiceNow的工作流程則會將漏洞項目分配給正確的團隊進行修復。

用戶可以在ServiceNow儀表板追蹤漏洞，查看當前狀態、分配、截止日期和風險程度，這些資料能夠與其他團隊共享，用於治理風險和法遵等用途。