Checkmarx와 DevOps Change Velocity의 통합
CI/CD 파이프라인과 통합된 Checkmarx 인스턴스에 연결하여 보안 검사 결과를 검색합니다. 이렇게 하면 코드가 얼마나 취약한지 확인하는 데 도움이 됩니다.
Checkmarx 통합 개요
, Jenkins, Azure DevOps, GitLab 및 Harness 파이프라인에 구성된 GitHub ActionsCheckmarx 스캔은 에서 지원됩니다DevOps 변경 속도.
Checkmarx One과 Checkmarx SAST라는 두 가지 Checkmarx 툴을 DevOps Change Velocity와 통합할 수 있습니다. 자세한 내용은 Checkmarx One 및 Checkmarx SAST 설명서를 참조하십시오.
Checkmarx SAST 사용자에게 요약 상세 정보를 얻기 위해 프로젝트 및 스캔 결과를 읽을 수 있는 권한이 있는 역할이 있는지 확인합니다. 자세한 내용은 Checkmarx 설명서를 참조하십시오. Checkmarx One 사용자에게 검사 요약 세부 정보에 액세스할 수 있는 생성-검사 및 프로젝트 관리 역할이 있는지 확인합니다. 자세한 내용은 Checkmarx 설명서를 참조하십시오.
파이프라인의 모든 단계에서 Checkmarx 스캔을 구성할 수 있으며 스캔 상세 정보는 해당 단계에서 DevOps 변경 속도로 검색됩니다. Azure DevOps 또는 GitHub Actions 오케스트레이션 도구를 사용하는 경우 항상 파이프라인에 사용자 지정 작업 코드를 추가해야 합니다. Jenkins를 사용 중이고 파이프라인에 Checkmarx One 보안 검사(checkmarxASTScanner) 단계가 이미 있는 경우 파이프라인에 사용자 지정 작업 코드를 추가할 필요가 없습니다. Checkmarx SAST의 경우 보안 검사 단계(checkmarxASTScanner)가 있더라도 파이프라인에 사용자 지정 작업 코드를 추가해야 합니다.
GitLab 도구에 대해 Checkmarx를 구성하려는 경우 일반 Docker 컨테이너 이미지를 사용하여 Checkmarx 보안 단계를 추가하거나 주제에 지정된 와 보안 도구 통합 GitLab 단계를 수행할 수 있습니다.
하네스 파이프라인의 경우 일반 Docker 컨테이너 이미지를 통해서만 Checkmarx 스캔을 구성할 수 있습니다. 자세한 내용은 일반 Docker 컨테이너 이미지를 사용하여 파이프라인에 대한 사용자 지정 작업 구현 문서를 참조하십시오.
변경 요청의 관련 목록이나 파이프라인의 작업 실행 또는 인스턴스의 파이프라인 UI ServiceNow 에서 보안 검사 결과를 볼 수 있습니다. 변경 자동화에 대한 변경 정책 및 조건을 정의할 때 보안 결과를 사용할 수도 있습니다.
시작하기
Checkmarx 인스턴스를 ServiceNow에 연결하기 전에 DevOps 취약성 통합(sn_devops_vul_ints) 및 Checkmarx One 취약성 통합(x_chec3_chexone) 또는 Checkmarx CxSAST 취약성 통합(x_chec3_cxsast) 플러그인을 설치해야 합니다. 플러그인 활성화에 대한 자세한 내용은 Install a ServiceNow Store application 문서를 참조하십시오.
ServiceNow에서 캡처한 스캔 결과에 대한 자세한 내용은 다음 문서를 참조하십시오 보안 스캔 결과.
다음 옵션 중 하나를 사용하여 Checkmarx를 온보딩합니다. 안내 환경의 경우 작업 공간을 사용하여 도구를 온보딩합니다. 또는 Service Catalog 또는 클래식 환경을 사용할 수 있습니다.