Veracode 統合の概要

VeracodeGitHub Actions、Jenkins、Azure DevOps、GitLab、および Harness パイプラインで構成されたスキャンは、DevOps チェンジベロシティ でサポートされています。

パイプラインの任意のステージで Veracode スキャンを構成することができ、スキャンの詳細は対応するステージから DevOps チェンジベロシティ取得されます。Azure DevOps または GitHub Actions オーケストレーション ツールを使用している場合は、パイプラインにカスタム アクション コードを常に追加する必要があります。Jenkins を使用していて、パイプラインに既に Veracode セキュリティスキャンステップがある場合は、パイプラインにカスタムアクションコードを追加する必要はありません。Veracodeセキュリティスキャンステップに waitForScan: true があることを確認します。これは、システムがスキャン情報を取得するために必要です。

GitLab ツール用に Veracode を構成する場合は、汎用 Docker コンテナイメージを使用して Veracode セキュリティステップを追加するか、「 セキュリティツールとのデータ連携 GitLab 」トピックで指定された手順を実行できます。

ハーネスパイプラインの場合、汎用Dockerコンテナイメージを使用してのみVeracodeスキャンを構成できます。詳細については、「汎用 Docker コンテナイメージを使用したパイプラインのカスタムアクションの実装」を参照してください。

セキュリティスキャン結果は、変更要求の関連リスト、パイプラインのタスク実行、または ServiceNow インスタンスのパイプライン UI で確認できます。変更の自動化のための変更ポリシーと条件を定義する際に、セキュリティ結果を使用することもできます。

始めましょう

Veracodeインスタンスを ServiceNow に接続する前に、DevOps 脆弱性統合 (sn_devops_vul_ints) および Veracode との脆弱性対応統合 (sn_vul_veracode) プラグインをインストールする必要があります。プラグインのアクティブ化については、「Install a ServiceNow Store application」を参照してください。

ServiceNow でキャプチャされたスキャン結果の詳細については、「 セキュリティスキャン結果」を参照してください。

Veracodeをオンボーディングするには、次のいずれかのオプションを使用します。ガイド付きエクスペリエンスの場合は、ワークスペースを使用してツールをオンボーディングします。または、サービスカタログまたはクラシックエクスペリエンスを使用することもできます。