Intégrer Checkmarx à Vélocité de changement DevOps - Espace de travail

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Connectez-vous à votre instance Checkmarx à l'aide du playbook de l'espace de travail de changement DevOps.

    Avant de commencer

    Effectuez les tâches spécifiées dans la rubrique Premiers pas avec Vélocité de changement DevOps.

    Rôle requis : sn_devops.admin ou sn_devops.tool_owner

    Pourquoi et quand exécuter cette tâche

    Checkmarx dispose de deux types d'outils : Checkmarx SAST et Checkmarx One.

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail de changement DevOps et utilisez l’une des options suivantes pour ouvrir le Playbook afin d’intégrer Checkmarx.
      OptionÉtapes
      Page d'accueil
      1. Sélectionnez le widget Connecter les outils.
      2. Dans le modal Se connecter à un outil, sélectionnez Checkmarx One ou Checkmarx SAST dans la catégorie Sécurité.
      Module Applications
      1. Sélectionnez Applications ( icône Applications.).
      2. Sélectionnez une application existante ou créez-en une. Pour créer une application, consultez Créer une application - Classique.
      3. Dans le volet Actions recommandées, sélectionnez la carte Connecter un outil.
      4. Dans le modal Se connecter à un outil, sélectionnez Checkmarx One ou Checkmarx SAST dans la catégorie Sécurité.
      Module Outils
      1. Sélectionnez Outils ( icône Outils.).
      2. Dans la liste Aptitude, sélectionnez Sécurité.
      3. Sélectionnez Connecter un outil.
      4. Dans le modal Se connecter à un outil, sélectionnez Checkmarx One ou Checkmarx SAST.
    2. Saisissez un nom pour identifier votre outil et sélectionnez Suivant. Se connecter à l'outil Checkmarx dans le playbook
    3. Dans la section Activité du playbook de saisie des détails de l'instance, saisissez les informations d'identification suivantes selon que vous vous connectez à Checkmarx One ou à Checkmarx SAST.
      OutilÉtapes
      Checkmarx SAST
      1. Dans le champ URL serveur, saisissez l'URL serveur de l'instance Checkmarx SAST. Activité de playbook Saisir les détails de l'instance Checkmarx SAST
      2. Dans le champ ID API, saisissez l'ID API de votre instance Checkmarx SAST.
      3. Dans le champ Clé API, saisissez la clé API de votre instance Checkmarx SAST.
      Checkmarx One
      1. Dans le champ URL de base du contrôle d'accès CheckmarxOne, saisissez l'URL de base du contrôle d'accès Checkmarx One de votre instance Checkmarx One. Activité de playbook Saisir les détails de l'instance Checkmarx One
      2. Dans le champ URL de base de l'API CheckmarxOne, saisissez l'URL de base de l'API de votre instance Checkmarx One.
      3. Dans le champ Locataire, saisissez le nom du locataire de votre instance Checkmarx SAST.
      4. Dans le champ ID client, saisissez l'ID client de votre instance Checkmarx SAST.
      5. Dans le champ Secret client, saisissez le secret client de votre instance Checkmarx SAST.

      Assurez-vous que votre utilisateur Checkmarx SAST dispose d'un rôle doté des autorisations nécessaires pour lire les résultats du projet et les résultats d'analyse afin d'obtenir des détails récapitulatifs. Pour plus d'informations, consultez la documentation Checkmarx. Assurez-vous que votre utilisateur Checkmarx One dispose des rôles créer-analyser et gérer-projet pour accéder aux détails récapitulatifs de l'analyse. Pour plus d'informations, consultez la documentation Checkmarx.

    4. Sélectionnez Connecter et passez en revue les détails de l'instance Checkmarx connectée.
    5. Spécifiez l'accès à l'outil.
      1. Si vous souhaitez contrôler l'accès à l'outil, ajoutez les groupes qui doivent y avoir accès dans le champ Maintenu par.
        Les tâches que ces utilisateurs des groupes peuvent effectuer dépendent du rôle qui leur est affecté.
        • Rôle Propriétaire de l'outil DevOps : peut afficher et modifier l'outil.
        • Rôle Propriétaire de l'application DevOps : peut afficher l'outil, associer, détecter et importer des données historiques et modifier les étapes du pipeline (le cas échéant) des objets de l'outil (tels que les plans, les référentiels et les pipelines).
        • Rôle Administrateur DevOps : peut modifier tous les outils.
        • Autres rôles DevOps : peuvent afficher l'outil.
        Remarque :
        Si vous ne sélectionnez pas de groupe et ignorez cette étape, tous les utilisateurs disposant du rôle Propriétaire de l'outil DevOps seront en mesure de modifier l'outil.
      2. Si vous choisissez de contrôler l'accès à l'outil, l'option Tous les propriétaires d'applications peuvent visualiser et associer des objets d'outil aux applications peut être sélectionnée.

        Cette option permet à tous les utilisateurs disposant du rôle Propriétaire de l'application DevOps d'accéder à l'outil. Si cette option est sélectionnée, ils seront en mesure d'afficher, d'associer, de détecter et d'importer des données historiques et pourront également modifier les étapes du pipeline (le cas échéant) des objets de l'outil.

      3. Sélectionnez Affecter.

      Activité de playbook Spécifier l'accès à l'outil

    6. S'il ne s'agit pas de la première instance de l'outil de sécurité que vous intégrez, sélectionnez l'outil d'orchestration à associer à votre instance d'outil de sécurité dans l'activité de playbook Associer les instances d'outils d'orchestration.

      Cette activité ne s'affiche pas s'il s'agit de la première instance d'outil de sécurité que vous intégrez.

      Remarque :
      cette activité de playbook n'est requise que si vous intégrez plusieurs instances d'outil de sécurité. Lorsque plusieurs instances d'outil de sécurité sont intégrées dans ServiceNow, vous ne devez associer qu'une seule des instances d'outil de sécurité au même outil d'orchestration ou au même enregistrement de pipeline.
      Activité de playbook Associer les instances d'outils d'orchestration
    7. Dans la section de l'activité de playbook Ajouter une action personnalisée aux pipelines, copiez le code d'action personnalisé requis et ajoutez-le en tant qu'étape dans votre pipeline.
      • Les pipelines sont automatiquement associés à Checkmarx lors de leur exécution si une seule instance de l'outil de sécurité est intégrée dans ServiceNow.
      • S'il s'agit de la première instance de l'outil de sécurité que vous intégrez, les codes d'action personnalisés de l'outil d'orchestration que vous avez intégré dans ServiceNow peuvent être copiés.
        • Si vous utilisez les outils d'orchestration Azure DevOps ou Actions GitHub, vous devez toujours ajouter le code d'action personnalisé dans votre pipeline.
        • Vous pouvez configurer les analyses Checkmarx à n'importe quelle étape du pipeline, et extraire les détails de l'analyse à l'étape correspondante dans Vélocité de changement DevOps. Si vous utilisez des outils d'orchestration Azure DevOps ou GitHub Actions, veillez à toujours ajouter le code d'action personnalisé dans votre pipeline. Si vous utilisez Jenkins et que votre pipeline comporte déjà une étape d'analyse de sécurité Checkmarx One (checkmarxASTScanner), vous n'avez pas besoin d'ajouter le code d'action personnalisé à votre pipeline. Pour Checkmarx SAST, ajoutez le code d'action personnalisé à votre pipeline, même s'il comporte l'étape d'analyse de sécurité (checkmarxASTScanner).
      • S'il ne s'agit pas de la première instance de l'outil de sécurité que vous intégrez, les codes d'action personnalisés appropriés des outils d'orchestration que vous avez sélectionnés à l'étape 6 peuvent être copiés. Si vous utilisez Jenkins et que votre pipeline comporte déjà une étape d'analyse de sécurité Checkmarx One (checkmarxASTScanner), vous n'avez pas besoin d'ajouter le code d'action personnalisé à votre pipeline.
      • Si vous souhaitez configurer Checkmarx pour l'outil GitLab, vous pouvez soit utiliser l'image de conteneur Docker générique pour ajouter l'étape de sécurité Checkmarx, soit suivre les étapes spécifiées dans la rubrique Intégrer des outils de sécurité à GitLab.
      • Pour les pipelines Harness, vous pouvez configurer les analyses Checkmarx uniquement via l'image du conteneur Docker générique. Pour plus d'informations, voir Implémenter des actions personnalisées pour les pipelines utilisant une image de conteneur Docker générique
      • Vous pouvez également associer le pipeline à l'instance de l'outil de sécurité en ajoutant l'ID de l'outil de sécurité au code d'action personnalisé. L'instance d'outil de sécurité précédemment associée est alors remplacée.
      Ajouter des actions personnalisées à l’activité du playbook de pipeline Checkmarx SAST
    8. Marquez l'activité comme étant terminée.
    9. Dans la page Résumé, sélectionnez Afficher l'enregistrement de l'outil pour examiner les détails de l'instance connectée.

      Page récapitulative du playbook

    Que faire ensuite

    Configurer les analyses Checkmarx sur votre pipeline