1. API ID 필드에 인스턴스의 API ID Veracode 를 입력합니다.
2. API 키 필드에 Veracode 인스턴스의 API 키를 입력합니다.

1. 도구에 대한 액세스를 제어하려면 유지 관리자 필드에 도구에 대한 액세스 권한을 부여해야 하는 그룹을 추가합니다.
   그룹의 이러한 사용자가 수행할 수 있는 작업은 할당된 역할에 따라 다릅니다.

   • DevOps 도구 소유자 역할: 도구를 보고 편집할 수 있습니다.
   • DevOps 앱 소유자 역할: 도구를 보고 도구 객체(예: 계획, 리포지토리 및 파이프라인)의 파이프라인 단계(해당되는 경우)를 연결, 검색 및 임포트하고 수정할 수 있습니다.
   • DevOps 관리자 역할: 모든 도구를 편집할 수 있습니다.
   • 기타 DevOps 역할: 도구를 볼 수 있습니다.
   주:

   그룹을 선택하지 않고 이 단계를 건너뛰면 도구 소유자 역할이 있는 DevOps 모든 사용자가 도구를 편집할 수 있습니다.
2. 도구에 대한 액세스를 제어하도록 선택하면 모든 앱 소유자가 도구 객체를 보고 애플리케이션에 연결할 수 있음 옵션을 선택할 수 있게 됩니다.

   이 옵션을 사용하면 앱 소유자 역할을 가진 DevOps 모든 사용자가 도구에 액세스할 수 있습니다. 선택하면 도구 개체의 기록 데이터를 보고, 연결하고, 검색하고, 가져오고, 파이프라인 단계(해당되는 경우)를 수정할 수 있습니다.

3. 할당을 선택합니다.

온보딩하는 첫 번째 보안 도구 인스턴스인 경우에는 이 활동이 표시되지 않습니다.

• ServiceNow에 보안 인스턴스가 하나만 온보딩된 경우 파이프라인은 파이프라인이 실행될 때와 Veracode 자동으로 연결됩니다.
• 온보딩하는 첫 번째 보안 도구 인스턴스인 경우 ServiceNow에 온보딩한 오케스트레이션 도구에 대한 사용자 지정 작업 코드를 복사할 수 있습니다.
  • Azure DevOps 또는 GitHub Actions 오케스트레이션 도구를 사용하는 경우 항상 파이프라인에 사용자 지정 작업 코드를 추가해야 합니다.
  • Jenkins를 사용 중이고 파이프라인에 보안 검사 단계가 이미 있는 Veracode 경우 파이프라인에 사용자 지정 작업 코드를 추가할 필요가 없습니다. Veracode 보안 스캔 단계에 waitForScan: true가 있는지 확인합니다. 이는 시스템에서 스캔 정보를 검색하는 데 필요합니다.
• 온보딩하는 첫 번째 보안 도구 인스턴스가 아닌 경우 6단계에서 선택한 오케스트레이션 도구에 대한 각 사용자 지정 작업 코드를 복사할 수 있습니다. Jenkins를 사용 중이고 파이프라인에 Veracode 보안 검사 단계가 이미 있는 경우 파이프라인에 사용자 지정 작업 코드를 추가할 필요가 없습니다. Veracode 보안 검사 단계에 waitForScan: true가 있는지 확인합니다. 이는 시스템에서 스캔 정보를 검색하는 데 필수입니다.
• GitLab 도구에 대해 Veracode를 구성하려는 경우 일반 Docker 컨테이너 이미지를 사용하여 Veracode 보안 단계를 추가하거나 주제에 지정된 와 보안 도구 통합 GitLab 단계를 수행할 수 있습니다.
• 하네스 파이프라인의 경우 일반 Docker 컨테이너 이미지를 통해서만 스캔을 구성할 Veracode 수 있습니다. 자세한 내용은 일반 Docker 컨테이너 이미지를 사용하여 파이프라인에 대한 사용자 지정 작업 구현 문서를 참조하십시오.
• 또는 사용자 지정 작업 코드에 보안 도구 ID를 추가하여 파이프라인을 보안 도구 인스턴스와 연결할 수 있습니다. 이렇게 하면 이전에 연결된 보안 도구 인스턴스가 재정의됩니다.

파이프라인에서 Veracode 검사를 구성하는 방법에 대한 자세한 내용은 다음을 참조하십시오. 파이프라인에서 스캔 구성 Veracode