Intégrer Veracode à Vélocité de changement DevOps : espace de travail

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • Connectez-vous à votre Veracode instance à l’aide du playbook de l’espace de travail de changement DevOps.

    Avant de commencer

    Effectuez les tâches spécifiées dans la Premiers pas avec Vélocité de changement DevOps rubrique.

    Rôle requis : sn_devops.admin ou sn_devops.tool_owner

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail de changement DevOps et utilisez l’une des options suivantes pour ouvrir le Playbook à intégrer Veracode.
      OptionÉtapes
      Page d'accueil
      1. Sélectionner le widget Outils de connexion
      2. Dans la fenêtre modale Se connecter à un outil, sélectionnez Veracode une catégorie Sécurité .
      Module Applications
      1. Sélectionnez Applications (icône Applications).
      2. Sélectionnez une application existante ou créez-en une. Pour créer une application, reportez-vous à la section Créer une application : classique.
      3. Dans le volet Actions recommandées, sélectionnez la carte Connecter un outil .
      4. Dans la fenêtre modale Se connecter à un outil, sélectionnez Veracode une catégorie Sécurité .
      Module Outils
      1. Sélectionnez Outils (icône Outils).
      2. Dans la liste Aptitude, sélectionnez Sécurité.
      3. Sélectionnez Connecter un outil.
      4. Dans la fenêtre modale Se connecter à un outil , sélectionnez Veracode.
    2. Entrez un nom pour identifier votre outil et sélectionnez Suivant.Se connecter à l’outil Veracode dans le playbook
    3. Dans la section Saisir les détails de l’instance Veracode pour l’activité du playbook, saisissez les informations d’identification suivantes :
      1. Dans le champ ID de l’API , saisissez l’ID de l’API de votre Veracode instance.
      2. Dans le champ Clé API , saisissez la clé API de votre instance Veracode.
      Remarque :
      Assurez-vous que vos Veracode informations d’identification ont les rôles d’API suivants.
      • Charger et analyser
      • Résultats
      Pour plus d'informations, consultez https://docs.veracode.com/r/c_API_roles_details.
    4. Sélectionnez Connexion et passez en revue les détails de l’instance Veracode correctement connectée.

      Activité Playbook pour saisir les détails de l’instance Veracode

    5. Spécifiez l’accès pour l’outil.
      1. Si vous souhaitez contrôler l’accès à l’outil, ajoutez les groupes qui doivent avoir accès à l’outil dans le champ Géré par .
        Les tâches que ces utilisateurs dans les groupes peuvent effectuer dépendent du rôle qui leur est affecté.
        • DevOps Rôle du propriétaire de l’outil : peut afficher et modifier l’outil.
        • DevOps Rôle du propriétaire de l’application : peut afficher l’outil et peut associer, détecter, importer des données historiques et modifier les étapes de pipeline (le cas échéant) des objets de l’outil (tels que les plans, les référentiels et les pipelines).
        • DevOps Rôle d’administrateur : peut modifier tous les outils.
        • Autres DevOps rôles : Peut afficher l’outil.
        Remarque :
        Si vous ne sélectionnez pas de groupe et ignorez cette étape, tous les utilisateurs ayant le rôle Propriétaire de l’outil DevOps pourront modifier l’outil.
      2. Si vous choisissez de contrôler l’accès à l’outil, l’option Tous les propriétaires d’applications peuvent afficher et associer des objets d’outil aux applications devient disponible pour la sélection.

        Cette option permet à tous les utilisateurs ayant le rôle de propriétaire d’application DevOps d’accéder à l’outil. S’ils sont sélectionnés, ils pourront afficher, associer, découvrir, importer des données historiques et modifier les étapes du pipeline (le cas échéant) des objets de l’outil.

      3. Sélectionnez Affecter.

      Activité Playbook pour spécifier le niveau d’accès

    6. S’il ne s’agit pas de la première instance de l’outil de Security que vous intégrez, sélectionnez l’outil d’orchestration à associer à votre instance d’outil de Security dans l’activité de playbook Associer les instances d’outils d’orchestration.

      Cette activité ne s’affiche pas s’il s’agit de la première instance d’outil de Security que vous intégrez.

      Remarque :
      Cette activité de playbook n’est requise que si vous intégrez plusieurs instances d’outils de Security. Lorsque plusieurs instances d’outils de Security sont intégrées dans ServiceNow, vous ne devez associer qu’une seule des instances d’outils de Security au même outil d’orchestration ou au même enregistrement de pipeline.
      Activité Playbook pour associer des instances d’outils d’orchestration à un outil de Security
    7. Dans la section Ajouter une action personnalisée à l’activité du playbook de pipelines, copiez le code d’action personnalisé requis et ajoutez-le en tant qu’étape dans votre pipeline.
      • Si une seule instance de sécurité est intégrée dans ServiceNow, les pipelines seront automatiquement associés Veracode lors de l’exécution du pipeline.
      • S’il s’agit de la première instance d’outil de Security que vous intégrez, les codes d’action personnalisés de l’outil d’orchestration que vous avez intégré dans ServiceNow peuvent être copiés.
        • Si vous utilisez des outils d’orchestration Azure DevOps ou GitHub Actions, vous devez toujours ajouter le code d’action personnalisé dans votre pipeline.
        • Si vous utilisez Jenkins et que votre pipeline comporte déjà une Veracode étape d’analyse de sécurité, vous n’avez pas besoin d’ajouter le code d’action personnalisé dans votre pipeline. Assurez-vous que votre Veracode étape d’analyse de sécurité a la valeur waitForScan : true. Cette opération est nécessaire pour que le système récupère les informations d’analyse.
      • S’il ne s’agit pas de la première instance d’outil de Security que vous intégrez, les codes d’action personnalisés respectifs pour les outils d’orchestration que vous avez sélectionnés à l’étape 6 peuvent être copiés. Si vous utilisez Jenkins et que votre pipeline comporte déjà une étape d’analyse de sécurité Veracode, vous n’avez pas besoin d’ajouter le code d’action personnalisé dans votre pipeline. Assurez-vous que votre étape d’analyse de sécurité Veracode indique waitForScan : true. Ceci est obligatoire pour que le système récupère les informations d’analyse.
      • Si vous souhaitez configurer Veracode pour l’outil GitLab, vous pouvez soit utiliser l’image générique du conteneur Docker pour ajouter l’étape de sécurité Veracode, soit effectuer les étapes spécifiées dans la Intégrer des outils de Security dans GitLab rubrique.
      • Pour les pipelines exploités, vous pouvez configurer Veracode les analyses uniquement via l’image de conteneur générique Docker . Pour plus d'informations, consultez Implémenter des actions personnalisées pour les pipelines utilisant une image de conteneur Docker générique.
      • Vous pouvez également associer le pipeline à l’instance de l’outil de Security en ajoutant l’ID de l’outil de Security au code d’action personnalisé. Cela remplacera toute instance d’outil de Security précédemment associée.
      Activité Playbook pour copier le code d’action personnalisé

      Pour plus d’informations sur la configuration des analyses Veracode sur votre pipeline, consultez Configurer Veracode les analyses sur votre pipeline

    8. Marquez l’activité comme terminée.
    9. Sur la page Résumé , sélectionnez Afficher l’enregistrement de l’outil pour examiner les détails de l’instance connectée.

      Page de résumé dans le playbook

    Que faire ensuite

    Configurer Veracode les analyses sur votre pipeline