Checkmarx 統合の概要

GitHub Actions、Jenkins、Azure DevOps、GitLab、および Harness の各パイプラインで構成された Checkmarx スキャンは、DevOps チェンジベロシティ でサポートされています。

DevOps Change Velocity には、Checkmarx One と Checkmarx SAST の 2 つの Checkmarx ツールを統合できます。詳細については、 Checkmarx One および Checkmarx SAST のドキュメントを参照してください。

Checkmarx SAST ユーザーに、プロジェクト結果とスキャン結果を読み取ってサマリーの詳細を取得する権限を持つロールがあることを確認します。詳細については、 Checkmarx のドキュメントを参照してください。Checkmarx One ユーザーに、スキャンサマリーの詳細にアクセスするための create-scan ロールと manage-project ロールがあることを確認してください。詳細については、 Checkmarx のドキュメントを参照してください。

パイプラインの任意のステージで Checkmarx スキャンを構成でき、スキャンの詳細は対応するステージから DevOps 変更速度管理に取得されます。Azure DevOps または GitHub Actions オーケストレーション ツールを使用している場合は、パイプラインにカスタム アクション コードを常に追加する必要があります。Jenkins を使用していて、パイプラインに Checkmarx One セキュリティスキャン (checkmarxASTScanner) ステップがすでに含まれている場合は、パイプラインにカスタムアクションコードを追加する必要はありません。Checkmarx SASTの場合、セキュリティ・スキャン・ステップ(checkmarxASTScanner)がある場合でも、カスタム・アクション・コードをパイプラインに追加する必要があります。

GitLab ツール用に Checkmarx を構成する場合は、汎用 Docker コンテナーイメージを使用して Checkmarx セキュリティステップを追加するか、 セキュリティツールとのデータ連携 GitLab トピックで指定されたステップを実行できます。

ハーネスパイプラインの場合、Checkmarx スキャンは汎用 Docker コンテナイメージでのみ設定できます。詳細については、「汎用 Docker コンテナイメージを使用したパイプラインのカスタムアクションの実装」を参照してください。

セキュリティスキャン結果は、変更要求の関連リスト、パイプラインのタスク実行、または ServiceNow インスタンスのパイプライン UI で確認できます。変更の自動化のための変更ポリシーと条件を定義する際に、セキュリティ結果を使用することもできます。

始めましょう

Checkmarx インスタンスを ServiceNow に接続する前に、DevOps 脆弱性統合 (sn_devops_vul_ints) と Checkmarx One 脆弱性統合 (x_chec3_chexone) プラグインまたは Checkmarx CxSAST 脆弱性統合 (x_chec3_cxsast) プラグインをインストールする必要があります。プラグインのアクティブ化について詳しくは、「 Install a ServiceNow Store application 」を参照してください。

ServiceNow でキャプチャされたスキャン結果の詳細については、「 セキュリティスキャン結果」を参照してください。

Checkmarx をオンボーディングするには、次のいずれかのオプションを使用します。ガイド付きエクスペリエンスの場合は、ワークスペースを使用してツールをオンボーディングします。または、サービスカタログまたはクラシックエクスペリエンスを使用することもできます。