Onboarding von Veracode in DevOps Change-Geschwindigkeit  – Arbeitsbereich

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Stellen Sie über das Playbook „DevOps Change Workspace“ eine Verbindung zu Ihrer Instanz Veracode her.

    Vorbereitungen

    Führen Sie die im Thema Erste Schritte mit DevOps Change-Geschwindigkeit angegebenen Aufgaben aus.

    Erforderliche Rolle: sn_devops.admin oder sn_devops.tool_owner

    Prozedur

    1. Navigieren zu Arbeitsbereiche > DevOps – Change-Arbeitsbereich und öffnen Sie das Playbook für das Onboarding von Veracodemit einer der folgenden Optionen.
      OptionSchritte
      Homepage
      1. Wählen Sie das Widget Verbindungstools aus
      2. Wählen Sie im modalen Fenster „Verbindung mit einem Tool herstellen Veracode “ aus der Kategorie Sicherheit aus.
      Modul „Anwendungen“
      1. Wählen Sie Anwendungen ( Anwendungssymbol.).
      2. Wählen Sie eine vorhandene Anwendung aus, oder erstellen Sie eine. Informationen zum Erstellen einer Anwendung finden Sie unter Erstellen Sie eine -Anwendung – Klassisch.
      3. Wählen Sie im Bereich Empfohlene Aktionen die Karte Tool verbinden.
      4. Wählen Sie im modalen Fenster „Verbindung mit einem Tool herstellen Veracode “ aus der Kategorie Sicherheit aus.
      Modul Tools
      1. Wählen Sie Tools ( Tools-Symbol.).
      2. Wählen Sie in der Fähigkeitsliste Sicherheitaus.
      3. Wählen Sie Tool verbinden.
      4. Wählen Sie im Modal Mit einem Tool verbindendie Option Veracodeaus.
    2. Geben Sie einen Namen ein, um Ihr Tool zu identifizieren, und wählen Sie Weiteraus.Stellen Sie eine Verbindung zum Veracode-Tool im Playbook her
    3. Geben Sie im Abschnitt für die Playbook-Aktivität „Veracode-Instanzdetails eingeben“ die folgenden Anmeldeinformationen ein:
      1. Geben Sie im Feld API-ID die API-ID Ihrer Instanz Veracode ein.
      2. Geben Sie im Feld API-Schlüssel den API-Schlüssel Ihrer Veracode-Instanz ein.
      Hinweis:
      Stellen Sie sicher, dass Ihre Veracode -Anmeldeinformationen über die folgenden API-Rollen verfügen.
      • Hochladen und scannen
      • Ergebnisse
      Weitere Informationen finden Sie unter https://docs.veracode.com/r/c_API_roles_details.
    4. Wählen Sie Verbinden, und überprüfen Sie die Details der erfolgreich verbundenen Veracode-Instanz.

      Playbook-Aktivität zum Eingeben von Veracode-Instanzdetails

    5. Geben Sie den Zugriff für das Tool an.
      1. Wenn Sie den Zugriff auf das Tool steuern möchten, fügen Sie im Feld Verwaltet von die Gruppen hinzu, die Zugriff auf das Tool erhalten müssen.
        Die Aufgaben, die diese Benutzer in den Gruppen ausführen können, hängt von der ihnen zugewiesenen Rolle ab.
        • DevOps Rolle Tool-Besitzer: Kann das Tool anzeigen und bearbeiten.
        • DevOps Rolle App-Besitzer: Kann das Tool anzeigen und Verlaufsdaten zuordnen, erkennen, importieren und Pipelineschritte (falls zutreffend) der Objekte des Tools (z. B. Pläne, Repositorys und Pipelines) ändern.
        • DevOps Administratorrolle: Kann alle Tools bearbeiten.
        • Andere DevOps -Rollen: Können das Tool anzeigen.
        Hinweis:
        Wenn Sie keine Gruppe auswählen und diesen Schritt überspringen, können alle Anwender mit der Rolle DevOps Toolbesitzer das Tool bearbeiten.
      2. Wenn Sie den Zugriff auf das Tool steuern möchten, wird die Option Alle App-Besitzer können Toolobjekte anzeigen und Anwendungen zuordnen zur Auswahl.

        Mit dieser Option können alle Anwender mit der Rolle DevOps „ App-Besitzer auf das Tool zugreifen. Wenn diese Option ausgewählt ist, können sie Verlaufsdaten anzeigen, zuordnen, erkennen, importieren und Pipelineschritte (falls zutreffend) der Objekte des Tools ändern.

      3. Klicken Sie auf Zuweisen.

      Playbook-Aktivität zum Angeben der Zugriffsebene

    6. Wenn dies nicht die erste Instanz des Sicherheitstools ist, das Sie einarbeiten, wählen Sie das Orchestration-Tool, das Ihrer Sicherheitstool-Instanz zugeordnet werden soll, in der Playbook-Aktivität „Orchestration-Tool-Instanzen zuordnen“ aus.

      Diese Aktivität wird nicht angezeigt, wenn dies die erste Sicherheitstool-Instanz ist, für die Sie ein Onboarding durchführen.

      Hinweis:
      Diese Playbook-Aktivität ist nur erforderlich, wenn Sie das Onboarding von mehr als einer Sicherheitstool-Instanz durchführen. Wenn in ServiceNow mehrere Sicherheitstool-Instanzen integriert werden, dürfen Sie nur eine der Sicherheitstool-Instanzen demselben Orchestration-Tool oder Pipeline-Datensatz zuordnen.
      Playbook-Aktivität zum Zuordnen von Orchestration-Toolinstanzen zu einem Sicherheitstool
    7. Kopieren Sie aus dem Abschnitt „Playbook-Aktivität für Pipelines hinzufügen“ den erforderlichen anwenderdefinierten Aktionscode, und fügen Sie ihn als Schritt in Ihrer Pipeline hinzu.
      • Wenn in ServiceNow nur eine Sicherheitsinstanz integriert wird, werden die Pipelines automatisch Veracode zugeordnet, wenn die Pipeline ausgeführt wird.
      • Wenn dies die erste Sicherheitstool-Instanz ist, die Sie einarbeiten, können die anwenderdefinierten Aktionscodes für das Orchestration-Tool, das Sie in ServiceNow eingearbeitet haben, kopiert werden.
        • Wenn Sie Orchestration-Tools für Azure DevOps oder GitHub Actions verwenden, müssen Sie Ihrer Pipeline immer den anwenderdefinierten Aktionscode hinzufügen.
        • Wenn Sie Jenkins verwenden und Ihre Pipeline bereits einen Sicherheitsscan-Schritt Veracode enthält, müssen Sie Ihrer Pipeline den anwenderdefinierten Aktionscode nicht hinzufügen. Stellen Sie sicher, dass für Ihren Sicherheitsscan-Schritt Veracodeden Wert „waitForScan: true“festgelegt ist. Dies ist erforderlich, damit das System die Scan-Informationen abrufen kann.
      • Wenn dies nicht die erste Sicherheitstool-Instanz ist, die Sie einarbeiten, können Sie die entsprechenden anwenderdefinierten Aktionscodes für Orchestration-Tools, die Sie in Schritt 6 ausgewählt haben, kopieren. Wenn Sie Jenkins verwenden und Ihre Pipeline bereits einen Veracode-Sicherheitsscan-Schritt enthält, müssen Sie Ihrer Pipeline den anwenderdefinierten Aktionscode nicht hinzufügen. Stellen Sie sicher, dass für Ihren Veracode-Sicherheitsscanschritt die Option „waitForScan: true“festgelegt ist. Dies ist obligatorisch, damit das System die Scan-Informationen abrufen kann.
      • Wenn Sie Veracode für das GitLab-Tool konfigurieren möchten, können Sie entweder das generische Docker-Container-Image verwenden, um den Veracode-Sicherheitsschritt hinzuzufügen, oder die im Thema Integrieren Sie Sicherheitstools in GitLab angegebenen Schritte ausführen.
      • Für Harnisch-Pipelines können Sie Veracode -Scans nur über das generische Container-Image Docker konfigurieren. Weitere Informationen finden Sie unter Implementieren Sie anwenderdefinierte Aktionen für Pipelines mit dem generischen Docker-Container-Image.
      • Alternativ können Sie die Pipeline mit einer Sicherheitstool-Instanz verknüpfen, indem Sie dem anwenderdefinierten Aktionscode die Sicherheitstool-ID hinzufügen. Dadurch werden alle zuvor zugeordneten Sicherheitstool-Instanzen überschrieben.
      Playbook-Aktivität zum Kopieren von anwenderdefiniertem Aktionscode

      Informationen zum Konfigurieren der Veracode-Scans in Ihrer Pipeline finden Sie unter Konfigurieren Sie Veracode -Scans in Ihrer Pipeline

    8. Markieren Sie die Aktivität als abgeschlossen.
    9. Wählen Sie auf der Seite „Zusammenfassung“die Option Tooldatensatz anzeigen aus, um die Details der verbundenen Instanz zu überprüfen.

      Zusammenfassungsseite im Playbook

    Nächste Maßnahme

    Konfigurieren Sie Veracode -Scans in Ihrer Pipeline