Checkmarx에서 DevOps 변경 속도 온보딩 - 작업 공간
DevOps 변경 작업 공간 플레이북을 사용하여 Checkmarx 인스턴스에 연결합니다.
시작하기 전에
주제에 지정된 DevOps 변경 속도 시작하기 작업을 완료합니다.
필요한 역할: sn_devops.admin 또는 sn_devops.tool_owner
이 태스크 정보
프로시저
-
다음으로 이동 그리고 다음 옵션 중 하나를 사용하여 Checkmarx를 온보딩하기 위한 플레이북을 엽니다.
옵션 단계 홈페이지 - 연결 도구 위젯 선택
- 도구에 연결 모달의 보안 범주에서 Checkmarx One 또는 Checkmarx SAST를 선택합니다.
애플리케이션 모듈 - 애플리케이션(
)을 선택합니다. - 기존 애플리케이션을 선택하거나 새로 만듭니다. 애플리케이션을 생성하려면 다음 문서를 참조하십시오 애플리케이션 생성 - 클래식.
- 권장 작업 창에서 도구 연결 카드를 선택합니다.
- 도구에 연결 모달의 보안 범주에서 Checkmarx One 또는 Checkmarx SAST를 선택합니다.
도구 모듈 - 도구(
)를 선택합니다. - 기능 목록에서 보안을 선택합니다.
- 도구 연결을 선택합니다.
- 도구에 연결 모달에서 Checkmarx One 또는 Checkmarx SAST를 선택합니다.
-
도구를 식별하는 이름을 입력하고 다음을 선택합니다.
-
인스턴스 세부 정보 플레이북 활동 섹션에서 Checkmarx One 또는 Checkmarx SAST에 연결하는지 여부에 따라 다음 자격 증명을 입력합니다.
도구 단계 체크막스 SAST - 서버 URL 필드에 Checkmarx SAST 인스턴스의 서버 URL을 입력합니다.
- API ID 필드에 Checkmarx SAST 인스턴스의 API ID를 입력합니다.
- API 키 필드에 Checkmarx SAST 인스턴스의 API 키를 입력합니다.
체크막스 원 - CheckmarxOne 액세스 제어 기본 URL 필드에 Checkmarx One 인스턴스의 Checkmarx One 액세스 제어 기본 URL을 입력합니다.
- CheckmarxOne API 기본 URL 필드에 Checkmarx One 인스턴스의 API 기본 URL을 입력합니다.
- 테넌트 필드에 Checkmarx SAST 인스턴스의 테넌트 이름을 입력합니다.
- 클라이언트 ID 필드에 Checkmarx SAST 인스턴스의 클라이언트 ID를 입력합니다.
- 클라이언트 암호 필드에 Checkmarx SAST 인스턴스의 클라이언트 암호를 입력합니다.
Checkmarx SAST 사용자에게 요약 상세 정보를 얻기 위해 프로젝트 및 스캔 결과를 읽을 수 있는 권한이 있는 역할이 있는지 확인합니다. 자세한 내용은 Checkmarx 설명서를 참조하십시오. Checkmarx One 사용자에게 검사 요약 세부 정보에 액세스할 수 있는 생성-검사 및 프로젝트 관리 역할이 있는지 확인합니다. 자세한 내용은 Checkmarx 설명서를 참조하십시오.
- 서버 URL 필드에 Checkmarx SAST 인스턴스의 서버 URL을 입력합니다.
-
도구에 대한 액세스 권한을 지정합니다.
- 도구에 대한 액세스를 제어하려면 유지 관리자 필드에 도구에 대한 액세스 권한을 부여해야 하는 그룹을 추가합니다.그룹의 이러한 사용자가 수행할 수 있는 작업은 할당된 역할에 따라 다릅니다.
- DevOps 도구 소유자 역할: 도구를 보고 편집할 수 있습니다.
- DevOps 앱 소유자 역할: 도구를 보고 도구 객체(예: 계획, 리포지토리 및 파이프라인)의 파이프라인 단계(해당되는 경우)를 연결, 검색 및 임포트하고 수정할 수 있습니다.
- DevOps 관리자 역할: 모든 도구를 편집할 수 있습니다.
- 기타 DevOps 역할: 도구를 볼 수 있습니다.
주:그룹을 선택하지 않고 이 단계를 건너뛰면 도구 소유자 역할이 있는 DevOps 모든 사용자가 도구를 편집할 수 있습니다. - 도구에 대한 액세스를 제어하도록 선택하면 모든 앱 소유자가 도구 객체를 보고 애플리케이션에 연결할 수 있음 옵션을 선택할 수 있게 됩니다.
이 옵션을 사용하면 앱 소유자 역할을 가진 DevOps 모든 사용자가 도구에 액세스할 수 있습니다. 선택하면 도구 개체의 기록 데이터를 보고, 연결하고, 검색하고, 가져오고, 파이프라인 단계(해당되는 경우)를 수정할 수 있습니다.
- 할당을 선택합니다.
- 도구에 대한 액세스를 제어하려면 유지 관리자 필드에 도구에 대한 액세스 권한을 부여해야 하는 그룹을 추가합니다.
-
온보딩하는 보안 도구의 첫 번째 인스턴스가 아닌 경우 오케스트레이션 도구 인스턴스 연결 플레이북 활동에서 보안 도구 인스턴스와 연결할 오케스트레이션 도구를 선택합니다.
온보딩하는 첫 번째 보안 도구 인스턴스인 경우에는 이 활동이 표시되지 않습니다.
주:이 플레이북 활동은 둘 이상의 보안 도구 인스턴스를 온보딩하는 경우에만 필요합니다. ServiceNow에 여러 보안 도구 인스턴스가 온보딩된 경우 보안 도구 인스턴스 중 하나만 동일한 오케스트레이션 도구 또는 파이프라인 기록에 연결해야 합니다. -
파이프라인 플레이북 활동에 사용자 지정 작업 추가 섹션에서 필요한 사용자 지정 작업 코드를 복사하여 파이프라인의 단계로 추가합니다.
- ServiceNow에 보안 인스턴스가 하나만 온보딩된 경우 파이프라인이 실행될 때 파이프라인이 Checkmarx와 자동으로 연결됩니다.
- 온보딩하는 첫 번째 보안 도구 인스턴스인 경우 ServiceNow에 온보딩한 오케스트레이션 도구에 대한 사용자 지정 작업 코드를 복사할 수 있습니다.
- Azure DevOps 또는 GitHub Actions 오케스트레이션 도구를 사용하는 경우 항상 파이프라인에 사용자 지정 작업 코드를 추가해야 합니다.
- 파이프라인의 모든 단계에서 Checkmarx 스캔을 구성할 수 있으며 스캔 상세 정보는 해당 단계에서 DevOps 변경 속도로 검색됩니다. Azure DevOps 또는 GitHub Actions 오케스트레이션 도구를 사용하는 경우 항상 파이프라인에 사용자 지정 작업 코드를 추가해야 합니다. Jenkins를 사용 중이고 파이프라인에 Checkmarx One 보안 검사(checkmarxASTScanner) 단계가 이미 있는 경우 파이프라인에 사용자 지정 작업 코드를 추가할 필요가 없습니다. Checkmarx SAST의 경우 보안 검사 단계(checkmarxASTScanner)가 있더라도 파이프라인에 사용자 지정 작업 코드를 추가해야 합니다.
- 온보딩하는 첫 번째 보안 도구 인스턴스가 아닌 경우 6단계에서 선택한 오케스트레이션 도구에 대한 각 사용자 지정 작업 코드를 복사할 수 있습니다. Jenkins를 사용 중이고 파이프라인에 Checkmarx One 보안 검사(checkmarxASTScanner) 단계가 이미 있는 경우 파이프라인에 사용자 지정 작업 코드를 추가할 필요가 없습니다.
- GitLab 도구에 대해 Checkmarx를 구성하려는 경우 일반 Docker 컨테이너 이미지를 사용하여 Checkmarx 보안 단계를 추가하거나 주제에 지정된 와 보안 도구 통합 GitLab 단계를 수행할 수 있습니다.
- 하네스 파이프라인의 경우 일반 Docker 컨테이너 이미지를 통해서만 Checkmarx 스캔을 구성할 수 있습니다. 자세한 내용은 일반 Docker 컨테이너 이미지를 사용하여 파이프라인에 대한 사용자 지정 작업 구현 문서를 참조하십시오.
- 또는 사용자 지정 작업 코드에 보안 도구 ID를 추가하여 파이프라인을 보안 도구 인스턴스와 연결할 수 있습니다. 이렇게 하면 이전에 연결된 보안 도구 인스턴스가 재정의됩니다.
-
요약 페이지에서 도구 기록 보기를 선택하여 연결된 인스턴스의 상세 정보를 검토합니다.