Integration von Checkmarx mit DevOps Change-Geschwindigkeit
Stellen Sie eine Verbindung zu Ihrer Checkmarx-Instanz her, die in Ihre CI/CD-Pipelines integriert ist, um Ergebnisse von Sicherheitsscans abzurufen. Dies hilft Ihnen zu bestimmen, wie angreifbar Ihr Code ist.
Checkmarx-Integrationsübersicht
Checkmarx-Scans, die in den Pipelines GitHub Actions, Jenkins, Azure DevOps, GitLab und Harnisch konfiguriert sind, werden in DevOps Change-Geschwindigkeitunterstützt.
Zwei Checkmarx-Tools können mit DevOps Change-Geschwindigkeit integriert werden: Checkmarx One und Checkmarx SAST. Weitere Informationen finden Sie in der Dokumentation zu Checkmarx One und Checkmarx SAST.
Stellen Sie sicher, dass Ihr Checkmarx SAST-Benutzer eine Rolle mit Berechtigungen zum Lesen von Projekt- und Scan-Ergebnissen hat, um Zusammenfassungsdetails zu erhalten. Weitere Informationen finden Sie in der Checkmarx-Dokumentation. Stellen Sie sicher, dass Ihr Checkmarx One-Benutzer über die Rollen „create-scan“ und „manage-project“ verfügt, um auf die Details der Scan-Zusammenfassung zugreifen zu können. Weitere Informationen finden Sie in der Checkmarx-Dokumentation.
Sie können Checkmarx-Scans in jeder Phase der Pipeline konfigurieren. Die Scan-Details werden dann aus der entsprechenden Phase für DevOps Change-Geschwindigkeit abgerufen. Wenn Sie Orchestration-Tools für Azure DevOps oder GitHub Actions verwenden, müssen Sie Ihrer Pipeline immer den anwenderdefinierten Aktionscode hinzufügen. Wenn Sie Jenkins verwenden und Ihre Pipeline bereits einen Checkmarx One-Sicherheitsscan-Schritt (checkmarxASTScanner) enthält, müssen Sie Ihrer Pipeline den anwenderdefinierten Aktionscode nicht hinzufügen. Für Checkmarx SAST muss Ihrer Pipeline der anwenderdefinierte Aktionscode hinzugefügt werden, auch wenn er den Sicherheitsscan-Schritt (checkmarxASTScanner) enthält.
Wenn Sie Checkmarx für das GitLab-Tool konfigurieren möchten, können Sie entweder das generische Docker-Container-Image verwenden, um den Checkmarx-Sicherheitsschritt hinzuzufügen, oder die im Thema Integrieren Sie Sicherheitstools in GitLab angegebenen Schritte ausführen.
Für Harnisch-Pipelines können Sie Checkmarx-Scans nur über das generische Container-Image Docker konfigurieren. Weitere Informationen finden Sie unter Implementieren Sie anwenderdefinierte Aktionen für Pipelines mit dem generischen Docker-Container-Image.
Sie können die Ergebnisse von Sicherheitsscans entweder in der zugehörigen Liste einer Change-Anforderung oder in der Aufgabenausführung der Pipeline oder in der Pipeline-UI in Ihrer Instanz ServiceNow anzeigen. Sie können Sicherheitsergebnisse auch beim Definieren von Change-Richtlinien und Bedingungen für die Change-Automatisierung verwenden.
Erste Schritte
Sie müssen die Plugins „DevOps Vulnerability Integrations“ (sn_devops_vul_ints) und „Checkmarx One Vulnerability Integration“ (x_chec3_chexone) oder „Checkmarx CxSAST Vulnerability Integration“ (x_chec3_cxsast) installieren, bevor Sie Ihre Checkmarx-Instanz mit ServiceNow verbinden. Weitere Informationen zum Aktivieren eines Plugins finden Sie unter Install a ServiceNow Store application.
Weitere Informationen zu den in ServiceNow erfassten Scan-Ergebnissen finden Sie unter Sicherheitsscanergebnisse.
Verwenden Sie eine der folgenden Optionen für das Onboarding von Checkmarx. Verwenden Sie für eine geführte Experience den Arbeitsbereich zum Onboarden eines Tools. Alternativ können Sie die Servicekatalog- oder die klassische Experience verwenden.