Onboarding von Checkmarx in DevOps Change-Geschwindigkeit – Arbeitsbereich
Stellen Sie über das Playbook „DevOps Change Workspace“ eine Verbindung zu Ihrer Checkmarx-Instanz her.
Vorbereitungen
Führen Sie die im Thema Erste Schritte mit DevOps Change-Geschwindigkeit angegebenen Aufgaben aus.
Erforderliche Rolle: sn_devops.admin oder sn_devops.tool_owner
Warum und wann dieser Vorgang ausgeführt wird
Prozedur
-
Navigieren zu und öffnen Sie das Playbook für das Onboarding von Checkmarx mit einer der folgenden Optionen.
Option Schritte Homepage - Wählen Sie das Widget Verbindungstools aus
- Wählen Sie im Modal „Mit einem Tool verbinden“ in der Kategorie Sicherheit die Option Checkmarx One oder Checkmarx SAST aus.
Modul „Anwendungen“ - Wählen Sie Anwendungen (
). - Wählen Sie eine vorhandene Anwendung aus, oder erstellen Sie eine. Informationen zum Erstellen einer Anwendung finden Sie unter Erstellen Sie eine -Anwendung – Klassisch.
- Wählen Sie im Bereich Empfohlene Aktionen die Karte Tool verbinden.
- Wählen Sie im Modal „Mit einem Tool verbinden“ in der Kategorie Sicherheit die Option Checkmarx One oder Checkmarx SAST aus.
Modul Tools - Wählen Sie Tools (
). - Wählen Sie in der Fähigkeitsliste Sicherheitaus.
- Wählen Sie Tool verbinden.
- Wählen Sie im Modal Mit einem Tool verbinden die OptionCheckmarx One oder Checkmarx SASTaus.
-
Geben Sie einen Namen ein, um Ihr Tool zu identifizieren, und wählen Sie Weiteraus.
-
Geben Sie im Abschnitt „Playbook-Aktivität mit Instanzdetails“ die folgenden Anmeldeinformationen ein, je nachdem, ob Sie eine Verbindung zu Checkmarx One oder Checkmarx SAST herstellen.
Tool Schritte Checkmarx SAST - Geben Sie im Feld Server-URL die Server-URL der Checkmarx-SAST-Instanz ein.
- Geben Sie im Feld API-ID die API-ID Ihrer Checkmarx-SAST-Instanz ein.
- Geben Sie im Feld API-Schlüssel den API-Schlüssel Ihrer Checkmarx-SAST-Instanz ein.
Checkmark One - Geben Sie im Feld Basis-URL für CheckmarxOne-Zugriffssteuerung die Basis-URL für die Checkmarx-One-Zugriffssteuerung Ihrer Checkmarx-One-Instanz ein.
- Geben Sie im Feld CheckmarxOne-API-Basis-URL die API-Basis-URL Ihrer Checkmarx One-Instanz ein.
- Geben Sie im Feld Mandant den Namen des Mandanten Ihrer Checkmarx-SAST-Instanz ein.
- Geben Sie im Feld Client-ID die Client-ID Ihrer Checkmarx-SAST-Instanz ein.
- Geben Sie im Feld Geheimer Clientschlüssel den geheimen Clientschlüssel Ihrer Checkmarx-SAST-Instanz ein.
Stellen Sie sicher, dass Ihr Checkmarx SAST-Benutzer eine Rolle mit Berechtigungen zum Lesen von Projekt- und Scan-Ergebnissen hat, um Zusammenfassungsdetails zu erhalten. Weitere Informationen finden Sie in der Checkmarx-Dokumentation. Stellen Sie sicher, dass Ihr Checkmarx One-Benutzer über die Rollen „create-scan“ und „manage-project“ verfügt, um auf die Details der Scan-Zusammenfassung zugreifen zu können. Weitere Informationen finden Sie in der Checkmarx-Dokumentation.
- Geben Sie im Feld Server-URL die Server-URL der Checkmarx-SAST-Instanz ein.
-
Geben Sie den Zugriff für das Tool an.
- Wenn Sie den Zugriff auf das Tool steuern möchten, fügen Sie im Feld Verwaltet von die Gruppen hinzu, die Zugriff auf das Tool erhalten müssen.Die Aufgaben, die diese Benutzer in den Gruppen ausführen können, hängt von der ihnen zugewiesenen Rolle ab.
- DevOps Rolle Tool-Besitzer: Kann das Tool anzeigen und bearbeiten.
- DevOps Rolle App-Besitzer: Kann das Tool anzeigen und Verlaufsdaten zuordnen, erkennen, importieren und Pipelineschritte (falls zutreffend) der Objekte des Tools (z. B. Pläne, Repositorys und Pipelines) ändern.
- DevOps Administratorrolle: Kann alle Tools bearbeiten.
- Andere DevOps -Rollen: Können das Tool anzeigen.
Hinweis:Wenn Sie keine Gruppe auswählen und diesen Schritt überspringen, können alle Anwender mit der Rolle DevOps Toolbesitzer das Tool bearbeiten. - Wenn Sie den Zugriff auf das Tool steuern möchten, wird die Option Alle App-Besitzer können Toolobjekte anzeigen und Anwendungen zuordnen zur Auswahl.
Mit dieser Option können alle Anwender mit der Rolle DevOps „ App-Besitzer auf das Tool zugreifen. Wenn diese Option ausgewählt ist, können sie Verlaufsdaten anzeigen, zuordnen, erkennen, importieren und Pipelineschritte (falls zutreffend) der Objekte des Tools ändern.
- Klicken Sie auf Zuweisen.
- Wenn Sie den Zugriff auf das Tool steuern möchten, fügen Sie im Feld Verwaltet von die Gruppen hinzu, die Zugriff auf das Tool erhalten müssen.
-
Wenn dies nicht die erste Instanz des Sicherheitstools ist, das Sie einarbeiten, wählen Sie das Orchestration-Tool, das Ihrer Sicherheitstool-Instanz zugeordnet werden soll, in der Playbook-Aktivität „Orchestration-Tool-Instanzen zuordnen“ aus.
Diese Aktivität wird nicht angezeigt, wenn dies die erste Sicherheitstool-Instanz ist, für die Sie ein Onboarding durchführen.
Hinweis:Diese Playbook-Aktivität ist nur erforderlich, wenn Sie das Onboarding von mehr als einer Sicherheitstool-Instanz durchführen. Wenn in ServiceNow mehrere Sicherheitstool-Instanzen integriert werden, dürfen Sie nur eine der Sicherheitstool-Instanzen demselben Orchestration-Tool oder Pipeline-Datensatz zuordnen. -
Kopieren Sie aus dem Abschnitt „Playbook-Aktivität für Pipelines hinzufügen“ den erforderlichen anwenderdefinierten Aktionscode, und fügen Sie ihn als Schritt in Ihrer Pipeline hinzu.
- Wenn in ServiceNow nur eine Sicherheitsinstanz integriert wird, werden die Pipelines automatisch Checkmarx zugeordnet, wenn die Pipeline ausgeführt wird.
- Wenn dies die erste Sicherheitstool-Instanz ist, die Sie einarbeiten, können die anwenderdefinierten Aktionscodes für das Orchestration-Tool, das Sie in ServiceNow eingearbeitet haben, kopiert werden.
- Wenn Sie Orchestration-Tools für Azure DevOps oder GitHub Actions verwenden, müssen Sie Ihrer Pipeline immer den anwenderdefinierten Aktionscode hinzufügen.
- Sie können Checkmarx-Scans in jeder Phase der Pipeline konfigurieren. Die Scan-Details werden dann aus der entsprechenden Phase für DevOps Change-Geschwindigkeit abgerufen. Wenn Sie Orchestration-Tools für Azure DevOps oder GitHub Actions verwenden, müssen Sie Ihrer Pipeline immer den anwenderdefinierten Aktionscode hinzufügen. Wenn Sie Jenkins verwenden und Ihre Pipeline bereits einen Checkmarx One-Sicherheitsscan-Schritt (checkmarxASTScanner) enthält, müssen Sie Ihrer Pipeline den anwenderdefinierten Aktionscode nicht hinzufügen. Für Checkmarx SAST muss Ihrer Pipeline der anwenderdefinierte Aktionscode hinzugefügt werden, auch wenn er den Sicherheitsscan-Schritt (checkmarxASTScanner) enthält.
- Wenn dies nicht die erste Sicherheitstool-Instanz ist, die Sie einarbeiten, können Sie die entsprechenden anwenderdefinierten Aktionscodes für Orchestration-Tools, die Sie in Schritt 6 ausgewählt haben, kopieren. Wenn Sie Jenkins verwenden und Ihre Pipeline bereits einen Checkmarx One-Sicherheitsscan-Schritt (checkmarxASTScanner) enthält, müssen Sie Ihrer Pipeline den anwenderdefinierten Aktionscode nicht hinzufügen.
- Wenn Sie Checkmarx für das GitLab-Tool konfigurieren möchten, können Sie entweder das generische Docker-Container-Image verwenden, um den Checkmarx-Sicherheitsschritt hinzuzufügen, oder die im Thema Integrieren Sie Sicherheitstools in GitLab angegebenen Schritte ausführen.
- Für Harnisch-Pipelines können Sie Checkmarx-Scans nur über das generische Container-Image Docker konfigurieren. Weitere Informationen finden Sie unter Implementieren Sie anwenderdefinierte Aktionen für Pipelines mit dem generischen Docker-Container-Image
- Alternativ können Sie die Pipeline mit einer Sicherheitstool-Instanz verknüpfen, indem Sie dem anwenderdefinierten Aktionscode die Sicherheitstool-ID hinzufügen. Dadurch werden alle zuvor zugeordneten Sicherheitstool-Instanzen überschrieben.
-
Wählen Sie auf der Seite „Zusammenfassung“die Option Tooldatensatz anzeigen aus, um die Details der verbundenen Instanz zu überprüfen.