1. [ API ID ] フィールドに、 Veracode インスタンスの API ID を入力します。
2. [API キー] フィールドに、Veracode インスタンスの API キーを入力します。

1. ツールへのアクセスを制御する場合は、ツールへのアクセス権を付与する必要があるグループを [ 管理担当者 ] フィールドに追加します。
   グループ内のこれらのユーザーが実行できるタスクは、アサインされたロールによって異なります。

   • DevOps ツールオーナーロール:ツールを表示および編集できます。
   • DevOps アプリオーナーロール:ツールを表示し、ツールのオブジェクト (プラン、リポジトリ、パイプラインなど) のパイプラインステップ (該当する場合) を関連付け、検出、インポートし、パイプラインステップを変更できます。
   • DevOps アドミニストレーターロール:すべてのツールを編集できます。
   • その他の DevOps ロール:ツールを表示できます。
   注:

   グループを選択せずにこの手順をスキップすると、 DevOps ツールオーナーロールを持つすべてのユーザーがツールを編集できます。
2. ツールへのアクセスを制御することを選択した場合、 すべてのアプリ所有者がツールオブジェクトを表示してアプリケーションに関連付けることができる オプションが選択可能になります。

   このオプションを使用すると、 DevOps アプリオーナーロールを持つすべてのユーザーがツールにアクセスできます。選択すると、ツールのオブジェクトの表示、関連付け、検出、履歴データのインポート、およびパイプラインステップの変更 (該当する場合) を行うことができます。

3. [アサイン] を選択します。

これがオンボーディングする最初のセキュリティツールインスタンスである場合、このアクティビティは表示されません。

• ServiceNow にオンボーディングされているセキュリティインスタンスが 1 つだけの場合、パイプラインの実行時にパイプラインは自動的に Veracode に関連付けられます。
• これがオンボーディングする最初のセキュリティツールインスタンスである場合は、ServiceNow にオンボーディングしたオーケストレーションツールのカスタムアクションコードをコピーできます。
  • Azure DevOps または GitHub Actions オーケストレーション ツールを使用している場合は、常にカスタム アクション コードをパイプラインに追加する必要があります。
  • Jenkins を使用していて、パイプラインに既に Veracode セキュリティスキャンステップがある場合は、パイプラインにカスタムアクションコードを追加する必要はありません。Veracode セキュリティスキャンステップに waitForScan: true があることを確認します。これは、システムがスキャン情報を取得するために必要です。
• オンボーディングするセキュリティツールインスタンスがこれが最初でない場合は、手順 6 で選択したオーケストレーションツールのそれぞれのカスタムアクションコードをコピーできます。Jenkins を使用していて、パイプラインに Veracode セキュリティ スキャン ステップが既に含まれている場合は、パイプラインにカスタム アクション コードを追加する必要はありません。Veracode セキュリティスキャンステップで waitForScan: true が設定されていることを確認します。これは、システムがスキャン情報を取得するために必須です。
• GitLab ツール用に Veracode を構成する場合は、汎用 Docker コンテナイメージを使用して Veracode セキュリティステップを追加するか、「 セキュリティツールとのデータ連携 GitLab 」トピックで指定された手順を実行できます。
• ハーネスパイプラインの場合、汎用Dockerコンテナイメージを使用してのみVeracodeスキャンを構成できます。詳細については、「汎用 Docker コンテナイメージを使用したパイプラインのカスタムアクションの実装」を参照してください。
• または、カスタムアクションコードにセキュリティツール ID を追加して、パイプラインをセキュリティツールインスタンスに関連付けることもできます。これにより、以前に関連付けられたセキュリティツールインスタンスが上書きされます。

パイプラインでの Veracode スキャンの設定については、次を参照してください。 パイプラインで Veracode スキャンを構成する