Checkmarx 連携の概要

GitHub Actions、Jenkins、Azure DevOps、GitLab、および Harness の各パイプラインで構成された Checkmarx スキャンは、DevOps 変更速度管理でサポートされています。

DevOps 変更速度管理には、Checkmarx One と Checkmarx SAST の 2 つの Checkmarx ツールを統合できます。詳細については、Checkmarx One および Checkmarx SAST のドキュメントを参照してください。

Checkmarx SAST ユーザーに、プロジェクトおよびスキャン結果を読み取ってサマリーの詳細を取得する権限を持つロールがあることを確認します。詳細については、「Checkmarx ドキュメント」を参照してください。Checkmarx Oneユーザーに、スキャンサマリーの詳細にアクセスするための create-scan ロールおよび manage-project ロールを持っていることを確認します。詳細については、「Checkmarx ドキュメント」を参照してください。

Checkmarx スキャンはパイプラインの任意のステージで構成でき、スキャンの詳細は対応するステージから DevOps 変更速度管理に取得されます。Azure DevOps または GitHub Actions オーケストレーションツールを使用している場合は、常にパイプラインにカスタムアクションコードを追加する必要があります。Jenkins を使用していて、パイプラインに Checkmarx One セキュリティスキャンステップ (checkmarxASTScanner) が既に含まれている場合は、パイプラインにカスタムアクションコードを追加する必要はありません。Checkmarx SAST の場合、セキュリティスキャンステップ (checkmarxASTScanner) がある場合でも、カスタムアクションコードをパイプラインに追加する必要があります。

GitLab ツール用に Checkmarx を構成する場合は、汎用 Docker コンテナイメージを使用して Checkmarx セキュリティステップを追加するか、セキュリティツールを GitLab と統合する トピックで指定されている手順を実行します。

ハーネスパイプラインの場合、汎用の Docker コンテナイメージを介してのみ Checkmarx スキャンを構成できます。詳細については、「汎用 Docker コンテナイメージを使用したパイプラインのカスタムアクションの実装」を参照してください。

セキュリティスキャンの結果は、変更要求の関連リスト、パイプラインのタスク実行、または ServiceNow インスタンスのパイプライン UI で表示できます。セキュリティの結果を使用して、変更ポリシーと変更自動化の条件を定義することもできます。

開始するには

Checkmarx インスタンスを ServiceNow に接続する前に、DevOps 脆弱性統合 (sn_devops_vul_ints) プラグインと Checkmarx One 脆弱性統合 (x_chec3_chexone) または Checkmarx CxSAST 脆弱性統合 (x_chec3_cxsast) プラグインをインストールする必要があります。プラグインのアクティブ化については、「Install a ServiceNow Store application」を参照してください。

ServiceNow でキャプチャされたスキャン結果の詳細については、「セキュリティスキャン結果」を参照してください。

Checkmarx をオンボーディングするには、次のいずれかのオプションを使用します。ガイド付きエクスペリエンスの場合は、ワークスペースを使用して、ツールをオンボーディングします。あるいは、サービスカタログまたはクラシックエクスペリエンスを使用できます。