Integration von DevOps Change-Geschwindigkeit in Veracode

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Stellen Sie eine Verbindung zu Ihrer Instanz Veracode her, die in Ihre CI/CD-Pipelines integriert ist, um Ergebnisse von Sicherheitsscans abzurufen. Dies hilft Ihnen zu bestimmen, wie angreifbar Ihr Code ist.

    Übersicht über die Veracode-Integration

    Veracode -Scans, die in den Pipelines GitHub Actions, Jenkins, Azure DevOps, GitLab und Harnisch konfiguriert sind, werden in DevOps Change-Geschwindigkeitunterstützt.

    Stellen Sie sicher, dass Ihre Veracode-Anmeldeinformationen über die folgenden API-Rollen verfügen.
    • Hochladen und scannen
    • Ergebnisse
    Weitere Informationen finden Sie in der Veracode-Dokumentation.

    Sie können Veracode -Scans in jeder Phase der Pipeline konfigurieren. Die Scan-Details werden aus der entsprechenden Phase in DevOps Change-Geschwindigkeitabgerufen. Wenn Sie Orchestration-Tools für Azure DevOps oder GitHub Actions verwenden, müssen Sie Ihrer Pipeline immer den anwenderdefinierten Aktionscode hinzufügen. Wenn Sie Jenkins verwenden und Ihre Pipeline bereits einen Sicherheitsscan-Schritt Veracode enthält, müssen Sie Ihrer Pipeline den anwenderdefinierten Aktionscode nicht hinzufügen. Stellen Sie sicher, dass für Ihren Sicherheitsscanschritt Veracode „waitForScan: true“ festgelegt ist. Dies ist erforderlich, damit das System die Scan-Informationen abrufen kann.

    Wenn Sie Veracode für das GitLab-Tool konfigurieren möchten, können Sie entweder das generische Docker-Container-Image verwenden, um den Veracode-Sicherheitsschritt hinzuzufügen, oder die im Thema Integrieren Sie Sicherheitstools in GitLab angegebenen Schritte ausführen.

    Für Harnisch-Pipelines können Sie Veracode -Scans nur über das generische Container-Image Docker konfigurieren. Weitere Informationen finden Sie unter Implementieren Sie anwenderdefinierte Aktionen für Pipelines mit dem generischen Docker-Container-Image.

    Sie können die Ergebnisse von Sicherheitsscans entweder in der zugehörigen Liste einer Change-Anforderung oder in der Aufgabenausführung der Pipeline oder in der Pipeline-UI in Ihrer Instanz ServiceNow anzeigen. Sie können Sicherheitsergebnisse auch beim Definieren von Change-Richtlinien und Bedingungen für die Change-Automatisierung verwenden.

    Erste Schritte

    Sie müssen die Plugins „DevOps Vulnerability Integrations“ (sn_devops_vul_ints) und „Vulnerability Response Integration with Veracode“ (sn_vul_veracode) installieren, bevor Sie Ihre Instanz Veracode mit ServiceNow verbinden. Weitere Informationen zum Aktivieren eines Plugins finden Sie unter Install a ServiceNow Store application.

    Weitere Informationen zu den in ServiceNow erfassten Scan-Ergebnissen finden Sie unter Sicherheitsscanergebnisse.

    Verwenden Sie eine der folgenden Optionen für das Onboarding Veracodevon . Verwenden Sie für eine geführte Experience den Arbeitsbereich zum Onboarden eines Tools. Alternativ können Sie die Servicekatalog- oder die klassische Experience verwenden.