AppTrust アプリケーション JFrog 統合

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • DevOps 変更速度管理JFrog AppTrust アプリケーションと統合して、アプリケーションのバージョンがライフサイクルステージを通じて昇格されるときに、変更要求の作成、承認、および証拠収集を自動化します。

    ServiceNow Store から要求して、JFrog プラグイン (x_snc_jfrog) をインストールします。 ServiceNow Storeにアクセスして、利用可能なすべてのアプリを表示し、ストアに要求を送信する方法を確認してください。リリースされたすべてのアプリのリリースメモ情報については、「ServiceNow Store バージョンの履歴リリースノート」を参照してください。

    JFrog AppTrust の概要

    JFrog AppTrust は、アプリケーションを含むアプリケーションリスクガバナンスソリューションです。各アプリケーション内で、アドミニストレーターはソフトウェア開発ライフサイクルを、開発、QA、ステージング、本番などの一連のステージとして定義し、それを通じてアプリケーションのバージョンを昇格させます。新しいバージョンがビルドされると、昇格と呼ばれるプロセスを通じて、ライフサイクルステージを 1 つから次のステージに進めることができます。プロモーションは、 DevOps 変更速度管理を使用して変更管理の対象にすることができます。

    ツールレコード

    コネクト

    JFrog ツールは、ベアラートークン認証情報を使用して接続する必要があります。この接続により、次の機能が有効になります。

    • インスタンス内の JFrog プロジェクトのディスカバリー。
    • 既存の Webhook の再構成。
    • ServiceNowビジネスアプリケーションをJFrog AppTrust アプリケーションに関連付けて、プロジェクトの新しい Webhook を構成します。
    • アプリケーション昇格の変更コントロールの有効化。
    注:
    JFrogツールの接続については、「DevOps 変更速度管理へのオンボードJFrog —ワークスペース」を参照してください。
    権限確認

    ベアラートークンには、ツールオブジェクトのシームレスな検出とインポートに必要な権限が必要です。権限チェックでは、次のオブジェクトへのアクセスを確認します。

    オブジェクト 必要な権限 影響
    アーティファクトリポジトリ アーティファクトリポジトリへの読み取りアクセス アーティファクト名、バージョン、メタデータなどのアーティファクトの詳細を取得するために必要です
    プロジェクト管理 JFrogプロジェクトへの読み取りアクセス JFrogインスタンスで利用可能なプロジェクトを検出してリストするために必要です
    ビルド ビルド情報への読み取りアクセス 変更要求証拠のアーティファクトに関連付けられたビルドの詳細を取得するために必要です
    プロジェクトの検出

    ツールが接続され、権限が検証されると、 ServiceNow はインスタンスで利用可能な JFrog プロジェクトを検出します。ディスカバリー中に、ServiceNow は JFrog API にクエリを実行してプロジェクトのリストを取得し、DevOps ツールオブジェクトとしてインポートします。

    プロジェクトレベルで Webhook を構成する
    プロジェクトの新しい Webhook を構成するには、ServiceNow ビジネスアプリケーションを JFrog AppTrust アプリケーションに関連付ける必要があります。詳細については、「ビジネスアプリケーションを関連付ける」を参照してください。
    ツールレベルでの Webhook の構成

    プロジェクトが構成されたら、ツールレコードの [ 新しいトークンを使用して自動構成 ] ボタンを選択することで、構成されたプロジェクトの Webhook を自動的に再構成できます。このアクションは、以前に構成されたすべての JFrog プロジェクトを新しいトークンで構成します。Webhook を使用すると、アプリケーションバージョンが新しいライフサイクルステージに昇格したときなど、 JFrog リアルタイムのイベント通知を ServiceNow に送信できます。

    [プロジェクト] タブ

    ツールレコードの [ プロジェクト ] タブを使用して、ServiceNow ビジネスアプリケーションを JFrog AppTrust アプリケーションに関連付けます。この関連付けにより、昇格中に作成された変更要求が ServiceNow内の正しいビジネスアプリケーションにリンクされ、正確な追跡とガバナンスが可能になります。

    ビジネスアプリケーションを関連付けるには、検出されたプロジェクトを選択し、適切な ServiceNow ビジネスアプリケーションにマップします。詳細な手順については、「ビジネスアプリケーションを関連付ける」を参照してください。

    変更の作成

    アプリケーションバージョンが JFrog の新しいステージに昇格すると、Integration with DevOps 変更速度管理 (DCV) によって、必要な証拠が入力された変更要求が ServiceNow で自動的に作成されます。ServiceNow 変更要求が JFrog ステージに追加されました

    JFrogでは、[AppTrust 統合] ページのステージに対して変更要求の作成を有効にすることができます。JFrog の要求作成設定の変更

    変更要求が ServiceNowでレビューおよび承認されると、承認は JFrogに戻され、アプリケーションのバージョンが自動的に新しいステージに昇格されます。

    ポリシーの変更

    JFrog 変更要求用に作成したモデルに変更承認ポリシーを追加できます。変更承認ポリシーの作成の詳細については、「変更承認ポリシーの作成」を参照してください。

    変更ポリシーでは、JFrog 変更要求に関連付けられた証拠を取得するために、[JFrog 証拠をフェッチ (JFrog Fetch evidences)] フローアクションを使用できます。このフローアクションは、アーティファクトの昇格の詳細などの関連証拠データを JFrog から収集し、対応する変更要求に添付します。このフローアクションを変更ポリシーの承認ワークフローに組み込んで、変更要求が承認または先に進む前に必要な証拠があることを確認できます。

    デジタル署名検証

    ServiceNow では、アプリケーションアーティファクトの整合性と信頼性を保証するデジタル署名検証をサポートしています。JFrogで AppTrust アプリケーションに関連付けられたデジタル署名を検証するには、公開鍵が必要です。この検証により、昇格プロセス中にアーティファクトが改ざんされていないことが確認されます。最初に sn_kmf.cryptographic_manager ロールを持つキーを生成する必要があります。キーを生成するには、次の手順を実行します。
    1. ServiceNow インスタンスの キー管理フレームワーク (KMF) モジュールに移動します。
    2. x_snc_jfrog.signing_key モジュールを選択します。
    3. キーを生成します。
    4. JFrog インスタンスからキーをエクスポートします。
      1. JFrogインスタンスで、 セキュリティ>キー管理>管理.
      2. AppTrust 構成に関連付けられている公開鍵を探します。
      3. このセクションから公開鍵をエクスポートまたはコピーします。