Veracode intégration avec Vélocité de changement DevOps

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Connectez-vous à votre Veracode instance intégrée à vos pipelines de CI/CD pour récupérer les résultats de l’analyse de sécurité. Cela vous aide à déterminer la vulnérabilité de votre code.

    Présentation de l’intégration Veracode

    Veracode les analyses configurées sur GitHub Actions les pipelines , Jenkins, Azure DevOps, GitLab et Harness sont prises en charge dans Vélocité de changement DevOps.

    Assurez-vous que vos informations d’identification Veracode disposent des rôles API suivants.
    • Charger et analyser
    • Résultats
    Pour plus d’informations, consultez la documentation Veracode.

    Vous pouvez configurer Veracode des analyses sur n’importe quelle étape du pipeline et les détails de l’analyse sont récupérés à partir de l’étape Vélocité de changement DevOps correspondante. Si vous utilisez des outils d’orchestration Azure DevOps ou GitHub Actions, vous devez toujours ajouter le code d’action personnalisé dans votre pipeline. Si vous utilisez Jenkins et que votre pipeline comporte déjà une Veracode étape d’analyse de sécurité, vous n’avez pas besoin d’ajouter le code d’action personnalisé dans votre pipeline. Assurez-vous que votre Veracode étape d’analyse de sécurité a la valeur waitForScan : true. Cette opération est nécessaire pour que le système récupère les informations d’analyse.

    Si vous souhaitez configurer Veracode pour l’outil GitLab, vous pouvez soit utiliser l’image générique du conteneur Docker pour ajouter l’étape de sécurité Veracode, soit effectuer les étapes spécifiées dans la Intégrer des outils de Security dans GitLab rubrique.

    Pour les pipelines exploités, vous pouvez configurer Veracode les analyses uniquement via l’image de conteneur générique Docker . Pour plus d'informations, consultez Implémenter des actions personnalisées pour les pipelines utilisant une image de conteneur Docker générique.

    Vous pouvez afficher les résultats de l’analyse de sécurité dans la liste connexe d’une demande de changement, dans l’exécution des tâches du pipeline ou dans l’interface utilisateur du pipeline de votre ServiceNow instance. Vous pouvez également utiliser les résultats de la sécurité pour définir les politiques de changement et les conditions pour l’automatisation des changements.

    Premiers pas

    Vous devez installer les modules d’extension DevOps Vulnerability Integrations (sn_devops_vul_ints) et Vulnerability Response Integration with Veracode (sn_vul_veracode) avant de connecter votre Veracode instance à ServiceNow. Pour plus d'informations sur l’activation d’un module d’extension, voir Install a ServiceNow Store application.
    Remarque :
    • Le rôle sn_vul.app_sec_manager est ajouté au rôle Propriétaire de l’outil DevOps [sn_devops.tool_owner] lorsque le module d’extension Intégrations de vulnérabilité DevOps (sn_devops_vul_ints) est installé.
    • Le rôle sn_vul_veracode.configure_integration est ajouté au rôle Propriétaire de l’outil DevOps [sn_devops.tool_owner] lorsque le module d’extension Vulnerability Response Integration with Veracode (sn_vul_veracode) est installé.

    Pour en savoir plus sur les résultats de l’analyse capturés dans ServiceNow, reportez-vous à la section Résultats de l'analyse de sécurité.

    Utilisez l’une des options suivantes pour intégrer Veracode. Pour une expérience guidée, utilisez l’espace de travail pour intégrer un outil. Vous pouvez également utiliser Service Catalog ou l’expérience classique.