Integrar Checkmarx ao Velocidade de mudança para DevOps - Espaço
Conecte-se à sua instância do Checkmarx usando o playbook do espaço de mudança de DevOps.
Antes de Iniciar
Conclua as tarefas especificadas no tópico Comece com Velocidade de mudança para DevOps.
Função necessária: sn_devops.admin ou sn_devops.tool_owner
Por Que e Quando Desempenhar Esta Tarefa
Procedimento
-
Navegar até e use uma das seguintes opções para abrir o Playbook para integrar o Checkmarx.
Opção Etapas Página inicial - Selecione o widget de ferramentas do Connect
- No modal da ferramenta Conectar-se a um, selecione Checkmarx One ou Checkmarx SAST na categoria Segurança.
Módulo de aplicações - Selecione Aplicações (
). - Selecione uma aplicação existente ou crie uma. Para criar uma aplicação, consulte Criar uma aplicação - Clássico.
- No painel Ações recomendadas, selecione o cartão Conectar a uma ferramenta.
- No modal da ferramenta Conectar-se a um, selecione Checkmarx One ou Checkmarx SAST na categoria Segurança.
Módulo de ferramentas - Selecione Ferramentas (
). - Na lista Capacidade, selecione Segurança.
- Selecione Conectar uma ferramenta.
- No modal Conectar a uma ferramenta, selecione Checkmarx One ou Checkmarx SAST.
-
Insira um nome para identificar sua ferramenta e selecione Avançar.
-
Na seção de atividade do playbook de detalhes da instância, insira as credenciais a seguir com base em se você está se conectando ao Checkmarx One ou ao Checkmarx SAST.
Ferramenta Etapas SAST do Checkmarx - No campo URL do servidor, insira o URL do servidor da instância SAST do Checkmarx.
- No campo ID da API, insira o ID da API da sua instância SAST do Checkmarx.
- No campo Chave de API, insira a chave de API da sua instância SAST do Checkmarx.
Checkmarx One - No campo URL da base de controle de acesso do CheckmarxOne, insira a URL da base de controle de acesso do Checkmarx One da sua instância do Checkmarx One.
- No campo URL base da API CheckmarxOne, insira a URL base da API da sua instância do Checkmarx One.
- No campo Locatário, insira o nome do locatário da sua instância Checkmarx SAST.
- No campo ID do cliente, insira o ID do cliente da sua instância SAST do Checkmarx.
- No campo Segredo do cliente, insira o segredo do cliente da sua instância SAST do Checkmarx.
Certifique-se de que o usuário Checkmarx SAST tenha uma função com permissões para ler resultadosde projeto e verificação para obter detalhes de resumo. Para obter mais informações, consulte a documentação do Checkmarx. Certifique-se de que o usuário do Checkmarx One tenha as funções create-scan e manage-project para acessar os detalhes do resumo da verificação. Para obter mais informações, consulte a documentação do Checkmarx.
- No campo URL do servidor, insira o URL do servidor da instância SAST do Checkmarx.
-
Especifique o acesso para a ferramenta.
- Se você quiser controlar o acesso à ferramenta, adicione os grupos que devem ter acesso à ferramenta no campo Mantido por.As tarefas que esses usuários nos grupos podem executar dependem da função atribuída a eles.
- DevOps Função de proprietário da ferramenta: pode exibir e editar a ferramenta.
- DevOps Função de proprietário da aplicação: pode exibir a ferramenta e associar, descobrir, importar dados históricos e modificar etapas do pipeline (se aplicável) dos objetos da ferramenta (como planos, repositórios e pipelines).
- DevOps Função de administrador: pode editar todas as ferramentas.
- Outras funções DevOps : pode exibir a ferramenta.
Nota:Se você não selecionar um grupo e ignorar esta etapa, todos os usuários com a função de proprietário da ferramenta DevOps poderão editar a ferramenta. - Se você optar por controlar o acesso à ferramenta, a opção Todos os proprietários de app podem exibir e associar objetos de ferramenta a aplicações ficará disponível para seleção.
Esta opção permite que todos os usuários com a função de proprietário de app DevOps acessem a ferramenta. Se selecionado, eles poderão exibir, associar, descobrir, importar dados históricos e modificar etapas do pipeline (se aplicável) dos objetos da ferramenta.
- Selecione Atribuir.
- Se você quiser controlar o acesso à ferramenta, adicione os grupos que devem ter acesso à ferramenta no campo Mantido por.
-
Se esta não for a primeira instância da ferramenta de segurança que você está integrando, selecione a ferramenta de orquestração a ser associada à sua instância da ferramenta de segurança na atividade do playbook Associar instâncias da ferramenta de orquestração.
Esta atividade não será exibida se esta for a primeira instância da ferramenta de segurança que você está integrando.
Nota:Esta atividade do playbook será necessária somente se você estiver integrando mais de uma instância da ferramenta de segurança. Quando várias instâncias da ferramenta de segurança são integradas à ServiceNow, você deve associar apenas uma das instâncias da ferramenta de segurança à mesma ferramenta de orquestração ou registro de pipeline. -
Na seção de atividade do playbook Adicionar ação personalizada aos pipelines, copie o código de ação personalizada necessário e adicione-o como uma etapa no pipeline.
- Se apenas uma instância de segurança estiver integrada na ServiceNow, os pipelines serão associados automaticamente ao Checkmarx quando o pipeline for executado.
- Se esta for a primeira instância da ferramenta de segurança que você está integrando, os códigos de ação personalizados da ferramenta de orquestração que você integrou na ServiceNow estarão disponíveis para cópia.
- Se você estiver usando as ferramentas de orquestração de ações do Azure DevOps ou do GitHub, deverá sempre adicionar o código de ação personalizado ao pipeline.
- Você pode configurar verificações de Checkmarx em qualquer fase do pipeline e os detalhes da verificação são recuperados da fase correspondente à Velocidade de mudança do DevOps. Se você estiver usando as ferramentas de orquestração do Azure DevOps ou do GitHub Actions, deverá sempre adicionar o código de ação personalizado ao pipeline. Se você estiver usando o Jenkins e o pipeline já tiver uma etapa de verificação de segurança Checkmarx One (checkmarxASTScanner), não será necessário adicionar o código de ação personalizado ao pipeline. Para o Checkmarx SAST, o código de ação personalizado deve ser adicionado ao pipeline, mesmo que ele tenha a etapa de verificação de segurança (checkmarxASTScanner).
- Se esta não for a primeira instância da ferramenta de segurança que você está integrando, os respectivos códigos de ação personalizados das ferramentas de orquestração que você selecionou na etapa 6 estarão disponíveis para cópia. Se você estiver usando o Jenkins e o pipeline já tiver uma etapa de verificação de segurança Checkmarx One (checkmarxASTScanner), não será necessário adicionar o código de ação personalizado ao pipeline.
- Se você quiser configurar o Checkmarx para a ferramenta GitLab, poderá usar a imagem genérica do contêiner do Docker para adicionar a etapa de segurança do Checkmarx ou executar as etapas especificadas no tópico Integrar ferramentas de segurança com GitLab.
- Para pipelines do Harness, você pode configurar verificações do Checkmarx somente por meio da imagem de contêiner genérica Docker. Para obter mais informações, consulte Implementar ações personalizadas para pipelines usando a imagem de contêiner genérica do Docker.
- Como alternativa, você pode associar o pipeline à instância da ferramenta de segurança adicionando o ID da ferramenta de segurança ao código de ação personalizada. Isso substituirá qualquer instância da ferramenta de segurança associada anteriormente.
-
Na página Resumo, selecione Exibir registro da ferramenta para revisar os detalhes da instância conectada.