Intégration de Checkmarx à DevOps Change Velocity
Connectez-vous à votre instance Checkmarx intégrée à vos pipelines CI/CD pour récupérer les résultats de l’analyse de sécurité. Cela vous aide à déterminer la vulnérabilité de votre code.
Vue d’ensemble de l’intégration CheckMarx
Les analyses Checkmarx configurées sur GitHub Actions les pipelines , Jenkins, Azure DevOps, GitLab et Harness sont prises en charge dans Vélocité de changement DevOps.
Deux outils Checkmarx peuvent être intégrés à DevOps Change Velocity, à savoir Checkmarx One et Checkmarx SAST. Pour plus d’informations, consultez la documentation Checkmarx One et Checkmarx SAST .
Assurez-vous que votre utilisateur Checkmarx SAST dispose d’un rôle doté des autorisations nécessaires pour lire les résultats de projet et d’analyse afin d’obtenir des détails récapitulatifs. Pour plus d’informations, consultez la documentation de Checkmarx. Assurez-vous que votre utilisateur Checkmarx One dispose des rôles create-scan et manage-project pour accéder aux détails du résumé de Scan. Pour plus d’informations, consultez la documentation de Checkmarx.
Vous pouvez configurer des analyses Checkmarx sur n’importe quelle étape du pipeline et les détails de l’analyse sont récupérés à partir de l’étape correspondante à la vélocité de changement DevOps. Si vous utilisez des outils d’orchestration Azure DevOps ou GitHub Actions, vous devez toujours ajouter le code d’action personnalisé dans votre pipeline. Si vous utilisez Jenkins et que votre pipeline comporte déjà une étape d’analyse de sécurité checkmarx One (checkmarxASTScanner), vous n’avez pas besoin d’ajouter le code d’action personnalisé dans votre pipeline. Pour Checkmarx SAST, le code d’action personnalisé doit être ajouté dans votre pipeline même s’il comporte l’étape d’analyse de sécurité (checkmarxASTScanner).
Si vous souhaitez configurer Checkmarx pour l’outil GitLab, vous pouvez soit utiliser l’image générique du conteneur Docker pour ajouter l’étape de sécurité Check Marx, soit effectuer les étapes spécifiées dans la Intégrer des outils de Security dans GitLab rubrique.
Pour les pipelines exploités, vous pouvez configurer les analyses Checkmarx uniquement via l’image de conteneur générique Docker . Pour plus d'informations, consultez Implémenter des actions personnalisées pour les pipelines utilisant une image de conteneur Docker générique.
Vous pouvez afficher les résultats de l’analyse de sécurité dans la liste connexe d’une demande de changement, dans l’exécution des tâches du pipeline ou dans l’interface utilisateur du pipeline de votre ServiceNow instance. Vous pouvez également utiliser les résultats de la sécurité pour définir les politiques de changement et les conditions pour l’automatisation des changements.
Premiers pas
Vous devez installer les modules d’extension Intégrations de vulnérabilité DevOps (sn_devops_vul_ints) et Checkmarx One Vulnerability Integration (x_chec3_chexone) ou Checkmarx CxSAST Vulnerability Integration (x_chec3_cxsast) avant de connecter votre instance Checkmarx à ServiceNow. Pour plus d'informations sur l’activation d’un module d’extension, voir Install a ServiceNow Store application.
Pour en savoir plus sur les résultats de l’analyse capturés dans ServiceNow, reportez-vous à la section Résultats de l'analyse de sécurité.
Utilisez l’une des options suivantes pour intégrer Check Marx. Pour une expérience guidée, utilisez l’espace de travail pour intégrer un outil. Vous pouvez également utiliser Service Catalog ou l’expérience classique.