Integração do Checkmarx com Velocidade de mudança para DevOps

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Conecte-se à instância do Checkmarx que está integrada aos pipelines de IC/CD para recuperar os resultados da verificação de segurança. Isso ajuda a determinar o quão vulnerável está o seu código.

    Visão geral da integração do Checkmarx

    As verificações do Checkmarx configuradas nos pipelines GitHub Actions, Jenkins, Azure DevOps, GitLab e Harness são compatíveis com Velocidade de mudança para DevOps.

    Duas ferramentas Checkmarx podem ser integradas ao DevOps Change Velocity, que são Checkmarx One e Checkmarx SAST. Para obter mais informações, consulte a documentação do Checkmarx One e do Checkmarx SAST.

    Certifique-se de que o usuário Checkmarx SAST tenha uma função com permissões para ler resultadosde projeto e verificação para obter detalhes de resumo. Para obter mais informações, consulte a documentação do Checkmarx. Certifique-se de que o usuário do Checkmarx One tenha as funções create-scan e manage-project para acessar os detalhes do resumo da verificação. Para obter mais informações, consulte a documentação do Checkmarx.

    Nota:
    Se você estiver integrando com o Checkmarx One, poderá recuperar somente verificações de SAST (Static Application Security Testing), mas não verificações de Análise de composição de software (SCA).

    Você pode configurar verificações de Checkmarx em qualquer fase do pipeline e os detalhes da verificação são recuperados da fase correspondente à Velocidade de mudança do DevOps. Se você estiver usando as ferramentas de orquestração do Azure DevOps ou do GitHub Actions, deverá sempre adicionar o código de ação personalizado ao pipeline. Se você estiver usando o Jenkins e o pipeline já tiver uma etapa de verificação de segurança Checkmarx One (checkmarxASTScanner), não será necessário adicionar o código de ação personalizado ao pipeline. Para o Checkmarx SAST, o código de ação personalizado deve ser adicionado ao pipeline, mesmo que ele tenha a etapa de verificação de segurança (checkmarxASTScanner).

    Se você quiser configurar o Checkmarx para a ferramenta GitLab, poderá usar a imagem genérica do contêiner do Docker para adicionar a etapa de segurança do Checkmarx ou executar as etapas especificadas no tópico Integrar ferramentas de segurança com GitLab.

    Para pipelines do Harness, você pode configurar verificações do Checkmarx somente por meio da imagem de contêiner genérica Docker. Para obter mais informações, consulte Implementar ações personalizadas para pipelines usando a imagem de contêiner genérica do Docker.

    Você pode exibir os resultados da verificação de segurança na lista relacionada de uma solicitação de mudança, na execução de tarefa do pipeline ou na IU do pipeline em sua instância ServiceNow. Você também pode usar os resultados de segurança na definição de políticas de mudança e condições para automação de mudanças.

    Iniciar

    Você deve instalar os plug-ins Integrações de vulnerabilidade para DevOps (sn_devops_vul_ints) e Checkmarx One Vulnerability Integration (x_chec3_chexone) ou Checkmarx CxSAST Vulnerability Integration (x_chec3_cxsast) antes de conectar sua instância do Checkmarx à ServiceNow. Para obter mais informações sobre como ativar um plug-in, consulte Install a ServiceNow Store application.

    Para obter mais informações sobre os resultados da verificação capturados na ServiceNow, consulte Resultados da verificação de segurança.

    Use uma das seguintes opções para integrar o Checkmarx. Para uma experiência guiada, use o espaço para integrar uma ferramenta. Como alternativa, você pode usar o Catálogo de serviços ou a experiência clássica.