Integrar o Checkmarx ao DevOps Change Velocity - Workspace

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 5 min. de leitura

    • Conecte-se à sua instância do Checkmarx usando o playbook do Espaço de mudanças do DevOps.

    Antes de Iniciar

    Conclua as tarefas especificadas no tópico Comece com Velocidade de mudança para DevOps.

    Função necessária: sn_devops.admin ou sn_devops.tool_owner

    Por Que e Quando Desempenhar Esta Tarefa

    O Checkmarx tem dois tipos de ferramentas - Checkmarx SAST e Checkmarx One.

    Procedimento

    1. Navegar até Espaços > Espaço de mudança de DevOps E use uma das seguintes opções para abrir o playbook para integrar o Checkmarx.
      OpçãoEtapas
      Página inicial
      1. Selecione o widget Conectar ferramentas
      2. No modal Conectar-se a uma ferramenta, selecione Checkmarx One ou Checkmarx SAST na categoria Segurança.
      Módulo de aplicações
      1. Selecione Aplicações (ícone Aplicações).
      2. Selecione uma aplicação existente ou crie uma. Para criar uma aplicação, consulte Criar uma aplicação - Clássico.
      3. No painel Ações recomendadas, selecione o cartão Conectar uma ferramenta.
      4. No modal Conectar-se a uma ferramenta, selecione Checkmarx One ou Checkmarx SAST na categoria Segurança.
      Módulo de ferramentas
      1. Selecione Ferramentas (ícone Ferramentas).
      2. Na lista Capacidade, selecione Segurança.
      3. Selecione Conectar uma ferramenta.
      4. No modal Conectar a uma ferramenta, selecione Checkmarx One ou Checkmarx SAST.
    2. Insira um nome para identificar sua ferramenta e selecione Avançar. Conectar à ferramenta Checkmarx no playbook
    3. Na seção de atividade do playbook de detalhes da instância, insira as credenciais a seguir considerando se está se conectando ao Checkmarx One ou ao Checkmarx SAST.
      FerramentaEtapas
      Checkmarx SAST
      1. No campo URL do servidor, insira o URL do servidor da instância do Checkmarx SAST. Inserir atividade do playbook de detalhes da instância Checkmarx SAST
      2. No campo ID da API, insira o ID da API da sua instância do Checkmarx SAST.
      3. No campo Chave da API, insira a chave da API da sua instância do Checkmarx SAST.
      Checkmarx One
      1. No campo URL da base de controle de acesso do CheckmarxOne, insira a URL da base de controle de acesso do Checkmarx One da instância do Checkmarx One. Inserir atividade do playbook de detalhes da instância Checkmarx One
      2. No campo URL base da API do CheckmarxOne, insira a URL base da API da instância do Checkmarx One.
      3. No campo Locatário, insira o nome do locatário da instância do Checkmarx SAST.
      4. No campo ID do cliente, insira o ID do cliente da instância do Checkmarx SAST.
      5. No campo Segredo do cliente, insira o segredo do cliente da instância Checkmarx SAST.

      Certifique-se de que o usuário Checkmarx SAST tenha uma função com permissões para ler resultados de projeto e verificação de resultados para obter detalhes de resumo. Para obter mais informações, consulte a documentação do Checkmarx. Certifique-se de que o usuário do Checkmarx One tenha as funções de create-scan e manage-project para acessar os detalhes do resumo da verificação. Para obter mais informações, consulte a documentação do Checkmarx.

    4. Selecione Conectar e revise os detalhes da instância do Checkmarx conectada com sucesso.
    5. Especifique o acesso para a ferramenta.
      1. Se você quiser controlar o acesso à ferramenta, adicione os grupos que devem ter acesso à ferramenta no campo Mantido por.
        As tarefas que esses usuários nos grupos podem executar dependem da função atribuída a eles.
        • Função de proprietário da ferramenta do DevOps: pode exibir e editar a ferramenta.
        • Função de proprietário do app do DevOps: pode exibir a ferramenta e associar, descobrir, importar dados históricos e modificar etapas do pipeline (se aplicável) dos objetos da ferramenta (como planos, repositórios e pipelines).
        • Função de administrador do DevOps: pode editar todas as ferramentas.
        • Outras funções do DevOps: pode exibir a ferramenta.
        Nota:
        Se você não selecionar um grupo e ignorar esta etapa, todos os usuários com a função de proprietário da ferramenta DevOps poderão editar a ferramenta.
      2. Se você optar por controlar o acesso à ferramenta, a opção Todos os proprietários de app podem exibir e associar objetos de ferramenta a aplicações ficará disponível para seleção.

        Esta opção permite que todos os usuários com a função de proprietário do app do DevOps acessem a ferramenta. Se selecionado, eles podem exibir, associar, descobrir, importar dados históricos e modificar etapas do pipeline (se aplicável) dos objetos da ferramenta.

      3. Selecione Atribuir.

      Atividade do playbook Especificar acesso à ferramenta

    6. Se esta não for a primeira instância da ferramenta de segurança que você está integrando, selecione a ferramenta de orquestração a ser associada à sua instância da ferramenta de segurança na atividade do playbook Associar instâncias da ferramenta de orquestração.

      Essa atividade não será exibida se for a primeira instância da ferramenta de segurança que você está integrando.

      Nota:
      Esta atividade do playbook é somente necessária caso esteja integrando mais de uma instância da ferramenta de segurança. Quando várias instâncias da ferramenta de segurança estão integradas no ServiceNow, você precisa associar apenas uma das instâncias da ferramenta de segurança à mesma ferramenta de orquestração ou registro de pipeline.
      Atividade do playboook Associar instâncias da ferramenta Orquestração
    7. Na seção da atividade do playbook Adicionar ação personalizada aos pipelines, copie o código de ação personalizada necessário e o adicione como etapa no pipeline.
      • Se apenas uma instância de segurança estiver integrada na ServiceNow, os pipelines serão associados automaticamente ao Checkmarx quando executados.
      • Se estiver integrando sua primeira instância da ferramenta de segurança, os códigos de ação personalizada da ferramenta de orquestração que você integrou na ServiceNow estarão disponíveis para cópia.
        • Se você estiver usando as ferramentas de orquestração de ações do Azure DevOps ou do GitHub, deverá sempre adicionar o código de ação personalizada ao pipeline.
        • Você pode configurar as verificações de Checkmarx em qualquer fase do pipeline e os detalhes da verificação são recuperados da fase correspondente à Velocidade de mudança do DevOps. Se estiver usando as ferramentas de orquestração do Azure DevOps ou do GitHub Actions, você deverá sempre adicionar o código de ação personalizado ao pipeline. Se estiver usando Jenkins e o seu pipeline já tiver uma etapa de verificação de segurança do Checkmarx One (checkmarxASTScanner), não será necessário adicionar o código de ação personalizado no pipeline. Para o Checkmarx SAST, o código de ação personalizada deve ser adicionado ao pipeline, mesmo que tenha a etapa de verificação de segurança (checkmarxASTScanner).
      • Se esta não for a primeira instância da ferramenta de segurança que você está integrando, os respectivos códigos de ação personalizada das ferramentas de orquestração que você selecionou na etapa 6 estarão disponíveis para cópia. Se estiver usando Jenkins e o seu pipeline já tiver uma etapa de verificação de segurança do Checkmarx One (checkmarxASTScanner), não será necessário adicionar o código de ação personalizada no pipeline.
      • Se quiser configurar o Checkmarx para a ferramenta do GitLab, você poderá usar a imagem genérica do contêiner do Docker para adicionar a etapa de segurança do Checkmarx ou executar as etapas especificadas no tópico Integrar ferramentas de segurança com GitLab.
      • Para pipelines Harness, você pode configurar verificações do Checkmarx somente por meio da imagem de contêiner genérica Docker. Para obter mais informações, consulte Implemente ações personalizadas para pipelines usando uma imagem genérica de contêiner do Docker.
      • Como alternativa, você pode associar o pipeline à instância da ferramenta de segurança adicionando o ID da ferramenta de segurança ao código de ação personalizada. Isso substitui qualquer instância da ferramenta de segurança previamente associada.
      Adicione ações personalizadas ao Checkmarx SAST da atividade do playbook do pipeline
    8. Marque a atividade como concluída.
    9. Na página Resumo, selecione Exibir registro da ferramenta para conferir os detalhes da instância conectada.

      Página de resumo do playbook

    O que Fazer Depois

    Configurar verificações do Checkmarx no seu pipeline