Konfigurieren Sie das vom Anwender erstellte Sicherheitstool

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Verbinden Sie Ihr anwenderdefiniertes Sicherheitstool, das in Ihre CI/CD-Pipelines integriert ist, mit DevOps Change-Geschwindigkeit, um Ergebnisse von Sicherheitsscans abzurufen.

    Vorbereitungen

    Sie müssen die Anwendungsschwachstellen-Integration erstellen, indem Sie die Schritt-für-Schritt-Anweisungen im Aktivierungsleitfaden Konfigurieren von DevOps mit Application Vulnerability Response für bessere Transparenz der CI/CD-Pipeline [KB1441741] befolgen. Dies ist ein erforderliches Setup für das Onboarding Ihres anwenderdefinierten Sicherheitstools aus DevOps Change-Geschwindigkeit.

    Erforderliche Rolle :
    • Entwicklerrolle für die bereichsbezogene App
    • DevOps-Administratorrolle
    Hinweis:
    Beim Erstellen einer Integration als bereichsbezogene App muss der Systemadministrator diese Rollen dem Integrationsentwickler zuweisen, damit der Integrationsentwickler Toolintegrations- und Integrationsfähigkeitsdatensätze für den spezifischen Umfang erstellen kann.

    Prozedur

    1. Navigieren Sie zu „DevOps“ > „Integrationen“ > „Toolintegrationen“, und erstellen Sie einen Datensatz, um das zu integrierende Tool zu definieren.
    2. Wählen Sie Neuaus, und geben Sie die folgenden Werte in die Formularfelder ein.
      Feld Wert
      Toolbezeichnung Name der Toolintegration.
      Integrationsversion Version der Toolintegration.
      Toolintegrationsdatensatz für die Integration eines anwenderdefinierten Sicherheitstools
    3. Wählen Sie Absenden.
    4. Öffnen Sie die neu erstellte Toolintegration, und navigieren Sie zur zugehörigen Liste „Fähigkeitenzuordnungen für Toolintegration“.
    5. Wählen Sie Neuaus, und geben Sie die folgenden Werte in die Formularfelder ein.
      Feld Wert
      Toolintegration Beispieltool
      Tooltypfähigkeit Sicherheit
      Zuordnungsdatensatz der Tool-Integrationsfähigkeit für die anwenderdefinierte Sicherheitstool-Integration
    6. Wählen Sie Absenden.
    7. Navigieren Sie zur zugehörigen Liste Integration Capabilities (Integrationsfunktionen), und wählen Sie Neuaus.
    8. Erstellen Sie die Datensätze Connect und Validate, indem Sie die folgenden Werte in die Formularfelder eingeben.
      Feld Wert
      Toolintegration Beispielcodetool
      Zuordnung der Fähigkeit Fähigkeitszuordnungsdatensatz, der in Schritt 6 erstellt wurde.
      Aktion Verbinden
      Hinweis:
      Bearbeiten Sie keine Toolaktionsdatensätze.
      Aktiv Ausgewählt
      Zeitüberschreitung (ms) Zeitüberschreitung für den entsprechenden Subflow. Wenn die Ausführung des Subflows diesen Wert überschreitet, tritt eine Zeitüberschreitungsausnahme auf. Der Wert wird in Millisekunden (ms) angegeben. Der Standardwert ist 45.000 (45 Sekunden).
      Subflow-Name
      • Für Connect: sn_devops_vul_ints.security_tool_connect
      • Für Validierung: sn_devops_vul_ints.security_tool_validate
      Domäne global
      Integrationsfähigkeitsdatensatz für Verbindungsaktion Integrationsfähigkeitsdatensatz für Validierungsaktion
    9. Öffnen Sie den neu erstellten Datensatz für die Toolintegration, und fügen Sie dem Formular die Felder „SecOps-Quellintegration“ und „Integrations-Handler -Name“ hinzu, indem Sie zu Konfigurieren > Formularlayoutnavigieren.
      Geben Sie im Formular zur Toolintegration die folgenden Werte für diese Felder ein.
    10. Stellen Sie sicher, dass „Name der Toolintegration“ DevOps Integration (Beispiel: Veracode DevOps Integration) in der Tabelle „Integration von Anwendungsschwachstellen“ (sn_vul_app_integration) erstellt und der Quellintegration zugeordnet wird, die in der Tabelle „Drittpartei-Integrationen“ (sn_sec_int_integration) erstellt wird, wie in beschrieben Konfigurationsseite > Schritte zum Erstellen einer Konfiguration Abschnitt im Aktivierungsleitfaden Konfigurieren von DevOps mit Application Vulnerability Response für besseren Einblick in die CI/CD-Pipeline [KB1441741].

    Nächste Maßnahme

    Standardmäßig müssen Sie beim Onboarden Ihres Tools über den -Arbeitsbereich die Pflichtfelder ausfüllen, die im Abschnitt „Konfigurationsseite“ im Aktivierungsleitfaden Konfigurieren von DevOps mit Application Vulnerability Response für bessere Transparenz der CI-/CD-Pipeline [KB1441741] definiert sind. Nicht alle Pflichtfelder sind Felder für Anmeldeinformationen. Im Basissystem werden alle Pflichtfelder beim Aktualisieren der Anmeldeinformationen angezeigt. Wenn Sie die Anmeldeinformationen für dieses Tool aktualisieren möchten, wenn sie abgelaufen sind, müssen Sie möglicherweise nicht alle Pflichtfelder ausfüllen. Führen Sie die folgenden Schritte aus, um die Pflichtfelder zu konfigurieren, die auf der Seite „Anmeldeinformationen aktualisieren“ angezeigt werden sollen.

    1. Navigieren Sie zu Now Experience Framework > Experiences.
    2. Wählen Sie DevOps Change Workspaceaus.
    3. Wählen Sie in der zugehörigen Liste „UX-Seiteneigenschaften“ securityToolsUIConfigaus.
    4. Fügen Sie der JSON den folgenden Eintrag hinzu.
      <tool_integration_sys_id> : { 
   "CREDENTIAL_PAGE": { 
      "FIELDS_TO_SHOW": [ 
         "<parameter_1>", 
         "<parameter_2>"     
                    ] 
  } 
}
      JSON-Eintrag in der UX-Seiteneigenschaft securityToolsUIConfig