Intégrer Checkmarx à la vélocité de changement DevOps : espace de travail
Connectez-vous à votre instance Checkmarx à l’aide du playbook de l’espace de travail de changement DevOps.
Avant de commencer
Effectuez les tâches spécifiées dans la Premiers pas avec Vélocité de changement DevOps rubrique.
Rôle requis : sn_devops.admin ou sn_devops.tool_owner
Pourquoi et quand exécuter cette tâche
Procédure
-
Accédez à la et utilisez l’une des options suivantes pour ouvrir le Playbook afin d’intégrer Checkmarx.
Option Étapes Page d'accueil - Sélectionner le widget Outils de connexion
- Dans la fenêtre modale Connecter à un outil, sélectionnez Checkmarx One ou Checkmarx SAST dans la catégorie Sécurité .
Module Applications - Sélectionnez Applications (
- Sélectionnez une application existante ou créez-en une. Pour créer une application, reportez-vous à la section Créer une application : classique.
- Dans le volet Actions recommandées, sélectionnez la carte Connecter un outil .
- Dans la fenêtre modale Connecter à un outil, sélectionnez Checkmarx One ou Checkmarx SAST dans la catégorie Sécurité .
Module Outils - Sélectionnez Outils (icône
- Dans la liste Aptitude, sélectionnez Sécurité.
- Sélectionnez Connecter un outil.
- Dans la fenêtre modale Se connecter à un outil , sélectionnez Checkmarx One ou Checkmarx SAST.
-
Entrez un nom pour identifier votre outil et sélectionnez Suivant.
-
Dans la section Activité du playbook des détails de l’instance, saisissez les informations d’identification suivantes selon que vous vous connectez à Checkmarx One ou à Checkmarx SAST.
Outil Étapes Checkmarx SAST - Dans le champ URL du serveur , entrez l’URL du serveur de l’instance Checkmarx SAST.
- Dans le champ ID de l’API , entrez l’ID de l’API de votre instance Checkmarx SAST.
- Dans le champ clé API , entrez la clé API de votre instance Checkmarx SAST.
Checkmarx One - Dans le champ URL de base du contrôle d’accès CheckmarxOne , entrez l’URL de base du contrôle d’accès Checkmarx One de votre instance Checkmarx One.
- Dans le champ URL de base de l’API CheckmarxOne , entrez l’URL de base de l’API de votre instance Checkmarx One.
- Dans le champ Locataire , saisissez le nom du locataire de votre instance Checkmarx SAST.
- Dans le champ ID client , entrez l’ID client de votre instance Checkmarx SAST.
- Dans le champ Secret client , saisissez le secret client de votre instance Checkmarx SAST.
Assurez-vous que votre utilisateur Checkmarx SAST dispose d’un rôle doté des autorisations nécessaires pour lire les résultats de projet et d’analyse afin d’obtenir des détails récapitulatifs. Pour plus d’informations, consultez la documentation de Checkmarx. Assurez-vous que votre utilisateur Checkmarx One dispose des rôles create-scan et manage-project pour accéder aux détails du résumé de Scan. Pour plus d’informations, consultez la documentation de Checkmarx.
- Dans le champ URL du serveur , entrez l’URL du serveur de l’instance Checkmarx SAST.
-
Spécifiez l’accès pour l’outil.
- Si vous souhaitez contrôler l’accès à l’outil, ajoutez les groupes qui doivent avoir accès à l’outil dans le champ Géré par .Les tâches que ces utilisateurs dans les groupes peuvent effectuer dépendent du rôle qui leur est affecté.
- DevOps Rôle du propriétaire de l’outil : peut afficher et modifier l’outil.
- DevOps Rôle du propriétaire de l’application : peut afficher l’outil et peut associer, détecter, importer des données historiques et modifier les étapes de pipeline (le cas échéant) des objets de l’outil (tels que les plans, les référentiels et les pipelines).
- DevOps Rôle d’administrateur : peut modifier tous les outils.
- Autres DevOps rôles : Peut afficher l’outil.
Remarque :Si vous ne sélectionnez pas de groupe et ignorez cette étape, tous les utilisateurs ayant le rôle Propriétaire de l’outil DevOps pourront modifier l’outil. - Si vous choisissez de contrôler l’accès à l’outil, l’option Tous les propriétaires d’applications peuvent afficher et associer des objets d’outil aux applications devient disponible pour la sélection.
Cette option permet à tous les utilisateurs ayant le rôle de propriétaire d’application DevOps d’accéder à l’outil. S’ils sont sélectionnés, ils pourront afficher, associer, découvrir, importer des données historiques et modifier les étapes du pipeline (le cas échéant) des objets de l’outil.
- Sélectionnez Affecter.
- Si vous souhaitez contrôler l’accès à l’outil, ajoutez les groupes qui doivent avoir accès à l’outil dans le champ Géré par .
-
S’il ne s’agit pas de la première instance de l’outil de Security que vous intégrez, sélectionnez l’outil d’orchestration à associer à votre instance d’outil de Security dans l’activité de playbook Associer les instances d’outils d’orchestration.
Cette activité ne s’affiche pas s’il s’agit de la première instance d’outil de Security que vous intégrez.
Remarque :Cette activité de playbook n’est requise que si vous intégrez plusieurs instances d’outils de Security. Lorsque plusieurs instances d’outils de Security sont intégrées dans ServiceNow, vous ne devez associer qu’une seule des instances d’outils de Security au même outil d’orchestration ou au même enregistrement de pipeline. -
Dans la section Ajouter une action personnalisée à l’activité du playbook de pipelines, copiez le code d’action personnalisé requis et ajoutez-le en tant qu’étape dans votre pipeline.
- Si une seule instance de sécurité est intégrée dans ServiceNow, les pipelines seront automatiquement associés à Checkmarx lors de l’exécution du pipeline.
- S’il s’agit de la première instance d’outil de Security que vous intégrez, les codes d’action personnalisés de l’outil d’orchestration que vous avez intégré dans ServiceNow peuvent être copiés.
- Si vous utilisez des outils d’orchestration Azure DevOps ou GitHub Actions, vous devez toujours ajouter le code d’action personnalisé dans votre pipeline.
- Vous pouvez configurer des analyses Checkmarx sur n’importe quelle étape du pipeline et les détails de l’analyse sont récupérés à partir de l’étape correspondante à la vélocité de changement DevOps. Si vous utilisez des outils d’orchestration Azure DevOps ou GitHub Actions, vous devez toujours ajouter le code d’action personnalisé dans votre pipeline. Si vous utilisez Jenkins et que votre pipeline comporte déjà une étape d’analyse de sécurité checkmarx One (checkmarxASTScanner), vous n’avez pas besoin d’ajouter le code d’action personnalisé dans votre pipeline. Pour Checkmarx SAST, le code d’action personnalisé doit être ajouté dans votre pipeline même s’il comporte l’étape d’analyse de sécurité (checkmarxASTScanner).
- S’il ne s’agit pas de la première instance d’outil de Security que vous intégrez, les codes d’action personnalisés respectifs pour les outils d’orchestration que vous avez sélectionnés à l’étape 6 peuvent être copiés. Si vous utilisez Jenkins et que votre pipeline comporte déjà une étape d’analyse de sécurité checkmarx One (checkmarxASTScanner), vous n’avez pas besoin d’ajouter le code d’action personnalisé dans votre pipeline.
- Si vous souhaitez configurer Checkmarx pour l’outil GitLab, vous pouvez soit utiliser l’image générique du conteneur Docker pour ajouter l’étape de sécurité Check Marx, soit effectuer les étapes spécifiées dans la Intégrer des outils de Security dans GitLab rubrique.
- Pour les pipelines exploités, vous pouvez configurer les analyses Checkmarx uniquement via l’image de conteneur générique Docker . Pour plus d'informations, voir Implémenter des actions personnalisées pour les pipelines utilisant une image de conteneur Docker générique
- Vous pouvez également associer le pipeline à l’instance de l’outil de Security en ajoutant l’ID de l’outil de Security au code d’action personnalisé. Cela remplacera toute instance d’outil de Security précédemment associée.
-
Sur la page Résumé , sélectionnez Afficher l’enregistrement de l’outil pour examiner les détails de l’instance connectée.