Intégration de Checkmarx à Vélocité de changement DevOps
Connectez-vous à votre instance Checkmarx intégrée à vos pipelines CI/CD pour récupérer les résultats de l'analyse de sécurité. Cela vous aide à déterminer le niveau de vulnérabilité de votre code.
Vue d'ensemble de l'intégration Checkmarx
Les analyses Checkmarx configurées sur les pipelines GitHub Actions, Jenkins, Azure DevOps, GitLab et Harness sont prises en charge dans Vélocité de changement DevOps.
Vous pouvez intégrer deux outils Checkmarx à Vélocité de changement DevOps, à savoir Checkmarx One et Checkmarx SAST. Pour plus d'informations, consultez la documentation Checkmarx One et Checkmarx SAST.
Assurez-vous que votre utilisateur Checkmarx SAST dispose d'un rôle doté des autorisations nécessaires pour lire les résultats du projet et les résultats d'analyse afin d'obtenir des détails récapitulatifs. Pour plus d'informations, consultez la documentation Checkmarx. Assurez-vous que votre utilisateur Checkmarx One dispose des rôles créer-analyser et gérer-projet pour accéder aux détails récapitulatifs de l'analyse. Pour plus d'informations, consultez la documentation Checkmarx.
Vous pouvez configurer les analyses Checkmarx à n'importe quelle étape du pipeline, et extraire les détails de l'analyse à l'étape correspondante dans Vélocité de changement DevOps. Si vous utilisez des outils d'orchestration Azure DevOps ou GitHub Actions, veillez à toujours ajouter le code d'action personnalisé dans votre pipeline. Si vous utilisez Jenkins et que votre pipeline comporte déjà une étape d'analyse de sécurité Checkmarx One (checkmarxASTScanner), vous n'avez pas besoin d'ajouter le code d'action personnalisé à votre pipeline. Pour Checkmarx SAST, ajoutez le code d'action personnalisé à votre pipeline, même s'il comporte l'étape d'analyse de sécurité (checkmarxASTScanner).
Si vous souhaitez configurer Checkmarx pour l'outil GitLab, vous pouvez soit utiliser l'image de conteneur Docker générique pour ajouter l'étape de sécurité Checkmarx, soit suivre les étapes spécifiées dans la rubrique Intégrer des outils de sécurité à GitLab.
Pour les pipelines Harness, vous pouvez configurer les analyses Checkmarx uniquement via l'image du conteneur Docker générique. Pour plus d'informations, consultez Implémenter des actions personnalisées pour les pipelines utilisant une image de conteneur Docker générique.
Vous pouvez afficher les résultats de l'analyse de sécurité soit dans la liste connexe d'une demande de changement, soit dans l'exécution de tâche du pipeline, soit dans l'interface utilisateur du pipeline de votre instance ServiceNow. Vous pouvez par ailleurs utiliser les résultats de sécurité pour définir des politiques et des conditions de changement pour l'automatisation des changements.
Commencez
Vous devez installer les modules d'extension Intégrations de vulnérabilités DevOps (sn_devops_vul_ints) et Intégration de vulnérabilités Checkmarx One (x_chec3_chexone) ou Intégration de vulnérabilités Checkmarx CxSAST (x_chec3_cxsast) avant de connecter votre instance Checkmarx à ServiceNow. Pour plus d'informations sur l’activation d’un module d’extension, voir Install a ServiceNow Store application.
Pour plus d'informations sur les résultats d'analyse capturés dans ServiceNow, consultez Résultats de l'analyse de sécurité.
Utilisez l'une des options suivantes pour intégrer Checkmarx. Pour une expérience guidée, utilisez l'espace de travail pour intégrer un outil. Vous pouvez également utiliser l'expérience Catalogue de services ou Classique.