Intégrer Veracode à Vélocité de changement DevOps - Espace de travail

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Connectez-vous à votre instance Veracode à l'aide du playbook Espace de travail de changement DevOps.

    Avant de commencer

    Effectuez les tâches spécifiées dans la rubrique Premiers pas avec Vélocité de changement DevOps.

    Rôle requis : sn_devops.admin ou sn_devops.tool_owner

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail de changement DevOps et utilisez l’une des options suivantes pour ouvrir le playbook à intégrer Veracode.
      OptionÉtapes
      Page d'accueil
      1. Sélectionnez le widget Connecter les outils.
      2. Dans le modal Se connecter à un outil, sélectionnez Veracode dans la catégorie Sécurité.
      Module Applications
      1. Sélectionnez Applications ( icône Applications.).
      2. Sélectionnez une application existante ou créez-en une. Pour créer une application, consultez Créer une application - Classique.
      3. Dans le volet Actions recommandées, sélectionnez la carte Connecter un outil.
      4. Dans le modal Se connecter à un outil, sélectionnez Veracode dans la catégorie Sécurité.
      Module Outils
      1. Sélectionnez Outils ( icône Outils.).
      2. Dans la liste Aptitude, sélectionnez Sécurité.
      3. Sélectionnez Connecter un outil.
      4. Dans le modal Se connecter à un outil, sélectionnez Veracode.
    2. Saisissez un nom pour identifier votre outil et sélectionnez Suivant.Se connecter à l'outil Veracode dans le playbook
    3. Dans la section d'activité du playbook Enter Veracode instance details (Saisir les détails de l'instance Veracode), saisissez les informations d'identification suivantes :
      1. Dans le champ ID API, saisissez l'ID API de votre instance Veracode.
      2. Dans le champ Clé API, saisissez la clé API de votre instance Veracode.
      Remarque :
      assurez-vous que vos informations d'identification Veracode disposent des rôles API suivants.
      • Charger et Analyser
      • Résultats
      Pour plus d'informations, consultez https://docs.veracode.com/r/c_API_roles_details.
    4. Sélectionnez Connecter et passez en revue les détails de l'instance Veracode connectée.

      Activité de playbook pour saisir les détails de l'instance Veracode

    5. Spécifiez l'accès à l'outil.
      1. Si vous souhaitez contrôler l'accès à l'outil, ajoutez les groupes qui doivent y avoir accès dans le champ Maintenu par.
        Les tâches que ces utilisateurs des groupes peuvent effectuer dépendent du rôle qui leur est affecté.
        • Rôle Propriétaire de l'outil DevOps : peut afficher et modifier l'outil.
        • Rôle Propriétaire de l'application DevOps : peut afficher l'outil, associer, détecter et importer des données historiques et modifier les étapes du pipeline (le cas échéant) des objets de l'outil (tels que les plans, les référentiels et les pipelines).
        • Rôle Administrateur DevOps : peut modifier tous les outils.
        • Autres rôles DevOps : peuvent afficher l'outil.
        Remarque :
        Si vous ne sélectionnez pas de groupe et ignorez cette étape, tous les utilisateurs disposant du rôle Propriétaire de l'outil DevOps seront en mesure de modifier l'outil.
      2. Si vous choisissez de contrôler l'accès à l'outil, l'option Tous les propriétaires d'applications peuvent visualiser et associer des objets d'outil aux applications peut être sélectionnée.

        Cette option permet à tous les utilisateurs disposant du rôle Propriétaire de l'application DevOps d'accéder à l'outil. Si cette option est sélectionnée, ils seront en mesure d'afficher, d'associer, de détecter et d'importer des données historiques et pourront également modifier les étapes du pipeline (le cas échéant) des objets de l'outil.

      3. Sélectionnez Affecter.

      Activité de playbook pour spécifier le niveau d'accès

    6. S'il ne s'agit pas de la première instance de l'outil de sécurité que vous intégrez, sélectionnez l'outil d'orchestration à associer à votre instance d'outil de sécurité dans l'activité de playbook Associer les instances d'outils d'orchestration.

      Cette activité ne s'affiche pas s'il s'agit de la première instance d'outil de sécurité que vous intégrez.

      Remarque :
      cette activité de playbook n'est requise que si vous intégrez plusieurs instances d'outil de sécurité. Lorsque plusieurs instances d'outil de sécurité sont intégrées dans ServiceNow, vous ne devez associer qu'une seule des instances d'outil de sécurité au même outil d'orchestration ou au même enregistrement de pipeline.
      Activité de playbook pour associer des instances d'outil d'orchestration à un outil de sécurité
    7. Dans la section de l'activité de playbook Ajouter une action personnalisée aux pipelines, copiez le code d'action personnalisé requis et ajoutez-le en tant qu'étape dans votre pipeline.
      • Les pipelines sont automatiquement associés à Veracode lors de leur exécution si une seule instance de l'outil de sécurité est intégrée dans ServiceNow.
      • S'il s'agit de la première instance de l'outil de sécurité que vous intégrez, les codes d'action personnalisés de l'outil d'orchestration que vous avez intégré dans ServiceNow peuvent être copiés.
        • Si vous utilisez les outils d'orchestration Azure DevOps ou Actions GitHub, vous devez toujours ajouter le code d'action personnalisé dans votre pipeline.
        • Si vous utilisez Jenkins et que votre pipeline comporte déjà une étape d'analyse de sécurité Veracode, vous n'avez pas besoin d'ajouter le code d'action personnalisé dans votre pipeline. Assurez-vous que votre étape d'analyse de sécurité Veracode indique waitForScan: true. Cela est nécessaire pour que le système récupère les informations d'analyse.
      • S'il ne s'agit pas de la première instance de l'outil de sécurité que vous intégrez, les codes d'action personnalisés appropriés des outils d'orchestration que vous avez sélectionnés à l'étape 6 peuvent être copiés. Si vous utilisez Jenkins et que votre pipeline comporte déjà une étape d'analyse de sécurité Veracode, vous n'avez pas besoin d'ajouter le code d'action personnalisé dans votre pipeline. Assurez-vous que votre étape d'analyse de sécurité Veracode indique waitForScan: true. Cette étape est obligatoire pour que le système récupère les informations d'analyse.
      • Si vous souhaitez configurer Veracode pour l'outil GitLab, vous pouvez soit utiliser l'image générique du conteneur Docker pour ajouter l'étape de sécurité Veracode, soit suivre les étapes spécifiées dans la rubrique Intégrer des outils de sécurité à GitLab.
      • Pour les pipelines Harness, vous pouvez configurer les analyses Veracode uniquement via l'image générique du conteneur Docker. Pour plus d'informations, consultez Implémenter des actions personnalisées pour les pipelines utilisant une image de conteneur Docker générique.
      • Vous pouvez également associer le pipeline à l'instance de l'outil de sécurité en ajoutant l'ID de l'outil de sécurité au code d'action personnalisé. L'instance d'outil de sécurité précédemment associée est alors remplacée.
      Activité de playbook pour copier le code d'action personnalisé

      Pour en savoir plus sur la configuration des analyses Veracode sur votre pipeline, consultez Configurer les analyses Veracode sur votre pipeline.

    8. Marquez l'activité comme étant terminée.
    9. Dans la page Résumé, sélectionnez Afficher l'enregistrement de l'outil pour examiner les détails de l'instance connectée.

      Page Résumé dans le playbook

    Que faire ensuite

    Configurer les analyses Veracode sur votre pipeline