VeracodeとDevOps 変更速度との統合
CI/CD パイプラインと統合された Veracode インスタンスに接続して、セキュリティスキャン結果を取得します。これは、コードがどの程度脆弱であるかを判断するのに役立ちます。
Veracode 統合の概要
VeracodeGitHub Actions、Jenkins、Azure DevOps、GitLab、および Harness パイプラインで構成されたスキャンは、DevOps 変更速度 でサポートされています。
- アップロードとスキャン
- 結果
パイプラインの任意のステージで Veracode スキャンを構成することができ、スキャンの詳細は対応するステージから DevOps 変更速度取得されます。Azure DevOps または GitHub Actions オーケストレーション ツールを使用している場合は、パイプラインにカスタム アクション コードを常に追加する必要があります。Jenkins を使用していて、パイプラインに既に Veracode セキュリティスキャンステップがある場合は、パイプラインにカスタムアクションコードを追加する必要はありません。Veracodeセキュリティスキャンステップに waitForScan: true があることを確認します。これは、システムがスキャン情報を取得するために必要です。
GitLab ツール用に Veracode を構成する場合は、汎用 Docker コンテナイメージを使用して Veracode セキュリティステップを追加するか、「 セキュリティツールとのデータ連携 GitLab 」トピックで指定された手順を実行できます。
ハーネスパイプラインの場合、汎用Dockerコンテナイメージを使用してのみVeracodeスキャンを構成できます。詳細については、「汎用 Docker コンテナイメージを使用したパイプラインのカスタムアクションの実装」を参照してください。
セキュリティスキャン結果は、変更要求の関連リスト、パイプラインのタスク実行、または ServiceNow インスタンスのパイプライン UI で確認できます。変更の自動化のための変更ポリシーと条件を定義する際に、セキュリティ結果を使用することもできます。
開始
- DevOps 脆弱性統合プラグイン (sn_devops_vul_ints) がインストールされると、sn_vul.app_sec_manager ロールが DevOps ツールオーナー [sn_devops.tool_owner] ロールに追加されます。
- sn_vul_veracode.configure_integration ロールは、Vulnerability Response Integration with Veracode プラグイン (sn_vul_veracode) がインストールされている場合、DevOps ツールオーナー [sn_devops.tool_owner] ロールに追加されます。
ServiceNow でキャプチャされたスキャン結果の詳細については、「 セキュリティスキャン結果」を参照してください。
Veracodeをオンボーディングするには、次のいずれかのオプションを使用します。ガイド付きエクスペリエンスの場合は、ワークスペースを使用してツールをオンボーディングします。または、サービスカタログまたはクラシックエクスペリエンスを使用することもできます。