Integration von DevOps Change-Geschwindigkeit in Veracode

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Stellen Sie eine Verbindung mit her Veracode Instanz, die in Ihre CI/CD-Pipelines integriert ist, um Ergebnisse von Sicherheitsscans abzurufen. Dies hilft Ihnen, zu bestimmen, wie angreifbar Ihr Code ist.

    Veracode-Integrationsübersicht

    Veracode Scans, die für konfiguriert sind GitHub Actions, Jenkins, Azure DevOps, GitLab und Harness-Pipelines werden in unterstützt DevOps Change-Geschwindigkeit.

    Stellen Sie sicher, dass Ihre Veracode-Anmeldeinformationen über die folgenden API-Rollen verfügen.
    • Hochladen und scannen
    • Ergebnisse
    Weitere Informationen finden Sie unter Veracode-Dokumentation .

    Sie können konfigurieren Veracode Scans in einer beliebigen Phase der Pipeline und die Scan-Details werden von der entsprechenden Phase bis abgerufen DevOps Change-Geschwindigkeit. Wenn Sie Azure DevOps- oder GitHub-Aktionen-Orchestration-Tools verwenden, müssen Sie den anwenderdefinierten Aktionscode immer in Ihrer Pipeline hinzufügen. Wenn Sie Jenkins verwenden und Ihre Pipeline bereits über verfügt Veracode Sicherheitsscan-Schritt, Sie müssen den anwenderdefinierten Aktionscode nicht in Ihrer Pipeline hinzufügen. Stellen Sie sicher, dass Ihr Veracode Der Sicherheitsscan-Schritt hat „waitForScan“: „Wahr“. Dies ist erforderlich, damit das System die Scan-Informationen abrufen kann.

    Wenn Sie Veracode für das GitLab-Tool konfigurieren möchten, können Sie entweder das generische Docker-Container-Image verwenden, um den Veracode-Sicherheitsschritt hinzuzufügen, oder die in angegebenen Schritte ausführen Integrieren Sie Sicherheitstools mit GitLab Thema.

    Für Kabelbaum-Pipelines können Sie konfigurieren Veracode Scannt nur über das generische Docker Container-Image. Weitere Informationen finden Sie unter Implementieren Sie anwenderdefinierte Aktionen für Pipelines mit einem generischen Docker-Container-Image.

    Sie können die Ergebnisse der Sicherheitsüberprüfung entweder in der zugehörigen Liste einer Change-Anforderung, in der Aufgabenausführung der Pipeline oder in der Pipeline-UI in anzeigen ServiceNow Instanz. Sie können Sicherheitsergebnisse auch verwenden, um Change-Richtlinien und -Bedingungen für die Change-Automatisierung zu definieren.

    Erste Schritte

    Sie müssen die Plugins DevOps Vulnerability Integrations (sn_devops_vul_ints) und Vulnerability Response Integration mit Veracode (sn_vul_veracode) installieren, bevor Sie Ihren verbinden Veracode Instanz zu ServiceNow. Weitere Informationen zum Aktivieren eines Plugins finden Sie unter Install a ServiceNow Store application.
    Hinweis:
    • Die Rolle „sn_vul.App_sec_Manager“ wird der Rolle „DevOps-Toolbesitzer“ [sn_devops.Tool_owner] hinzugefügt, wenn das Plugin „DevOps Vulnerability Integrations“ (sn_devops_vul_ints) installiert ist.
    • Die Rolle „sn_vul_veracode.configure_Integration“ wird der Rolle „DevOps-Toolbesitzer“ [sn_devops.Tool_owner] hinzugefügt, wenn das Plugin „Vulnerability Response Integration mit Veracode“ (sn_vul_veracode) installiert ist.

    Weitere Informationen zu den in ServiceNow erfassten Scan-Ergebnissen finden Sie unter Sicherheitsscanergebnisse.

    Verwenden Sie eine der folgenden Optionen zum Onboarding Veracode. Für eine geführte Experience verwenden Sie den Arbeitsbereich, um ein Tool zu onboarden. Alternativ können Sie den Servicekatalog oder die klassische Experience verwenden.