DevOps 変更速度管理 へのオンボーディングVeracode - ワークスペース

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:6分

    • DevOps 変更ワークスペースプレイブックを使用して、 Veracode インスタンスに接続します。

    始める前に

    DevOps 変更速度管理 の使用を開始するにはトピックで指定されたタスクを完了します。

    必要なロール: sn_devops.admin または sn_devops.tool_owner

    手順

    1. 移動先 ワークスペース > DevOps 変更ワークスペース をクリックし、次のいずれかのオプションを使用してプレイブックを開き、 Veracodeをオンボーディングします。
      オプションステップ
      ホームページ
      1. [ツールに接続] ウィジェットを選択します。
      2. [ツールに接続] モーダルで、[セキュリティ] カテゴリから [Veracode] を選択します。
      アプリケーションモジュール
      1. [アプリケーション] ([アプリケーション] アイコン) を選択します。
      2. 既存のアプリケーションを選択するか、新規作成します。アプリケーションを作成する場合は、アプリケーションの作成 - クラシック を参照します。
      3. [推奨アクション] ペインから、[ ツールの接続 ] カードを選択します。
      4. [ツールに接続] モーダルで、[セキュリティ] カテゴリから [Veracode] を選択します。
      ツールモジュール
      1. [ツール] ([ツール] アイコン) を選択します。
      2. 機能リストから、セキュリティを選択します。
      3. [ツールを接続] を選択します。
      4. [ツールに接続] モーダルで、[Veracode] を選択します。
    2. ツールを識別する名前を入力し、[ 次へ] を選択します。プレイブックの Veracode ツールに接続
    3. [Veracode インスタンスの詳細プレイブックアクティビティを入力] セクションで、次の認証情報を入力します。
      1. [ API ID ] フィールドに、 Veracode インスタンスの API ID を入力します。
      2. [API キー] フィールドに、Veracode インスタンスの API キーを入力します。
      注:
      Veracode認証情報に次の API ロールがあることを確認します。
      • アップロードとスキャン
      • 結果
      詳細については、「https://docs.veracode.com/r/c_API_roles_details」を参照してください。
    4. [ 接続 ] を選択し、正常に接続された Veracode インスタンスの詳細を確認します。

      Veracode インスタンスの詳細を入力するプレイブックアクティビティ

    5. ツールのアクセス権を指定します。
      1. ツールへのアクセスを制御する場合は、ツールへのアクセス権を付与する必要があるグループを [保守担当者 ] フィールドに追加します。
        グループ内のこれらのユーザーが実行できるタスクは、割り当てられたロールによって異なります。
        • DevOps ツールオーナーロール: ツールを表示および編集できます。
        • DevOps アプリオーナーロール: ツールを表示し、ツールのオブジェクト (プラン、リポジトリ、パイプラインなど) の関連付け、検出、履歴データのインポート、パイプラインステップの変更 (該当する場合) を実行できます。
        • DevOps 管理者ロール: すべてのツールを編集できます。
        • その他の DevOps ロール: ツールを表示できます。
        注:
        グループを選択せずにこの手順をスキップすると、 DevOps ツールオーナーロールを持つすべてのユーザーがツールを編集できます。
      2. ツールへのアクセスを制御することを選択した場合、 すべてのアプリ所有者がツールオブジェクトを表示してアプリケーションに関連付けることができる オプションが選択可能になります。

        このオプションを使用すると、 DevOps アプリオーナーロールを持つすべてのユーザーがツールにアクセスできます。選択すると、ツールのオブジェクトの表示、関連付け、検出、履歴データのインポート、およびパイプラインステップの変更 (該当する場合) が可能になります。

      3. [アサイン] を選択します。

      アクセスレベルを指定するプレイブックアクティビティ

    6. オンボーディングするセキュリティツールの最初のインスタンスではない場合は、[オーケストレーションツールインスタンスを関連付ける] プレイブックアクティビティから、セキュリティツールインスタンスに関連付けるオーケストレーションツールを選択します。

      これがオンボーディングする最初のセキュリティツールインスタンスである場合、このアクティビティは表示されません。

      注:
      このプレイブックアクティビティは、複数のセキュリティツールインスタンスをオンボーディングする場合にのみ必要です。ServiceNow で複数のツールインスタンスがオンボーディングされている場合は、1 つのツールインスタンスのみを同じオーケストレーションツールまたはパイプラインレコードに関連付ける必要があります。
      オーケストレーションツールインスタンスをセキュリティツールに関連付けるプレイブックアクティビティ
    7. [パイプラインにカスタムアクションを追加] プレイブックアクティビティセクションから、必要なカスタムアクションコードをコピーし、パイプラインのステップとして追加します。
      • ServiceNow に 1 つのセキュリティインスタンスのみがオンボードされている場合、パイプラインの実行時に自動的に Veracode に関連付けられます。
      • これがオンボーディングする最初のセキュリティツールインスタンスである場合は、ServiceNow にオンボーディングしたオーケストレーションツールのカスタムアクションコードをコピーできます。
        • Azure DevOps または GitHub Actions オーケストレーションツールを使用している場合は、常にカスタム アクション コードをパイプラインに追加する必要があります。
        • Jenkins を使用していて、パイプラインに Veracode セキュリティスキャンステップが既に含まれている場合は、パイプラインにカスタムアクションコードを追加する必要はありません。Veracode セキュリティスキャンステップに waitForScan: true があることを確認します。これは、システムがスキャン情報を取得するために必要です。
      • オンボーディングするセキュリティツールインスタンスがこれが最初でない場合は、手順 6 で選択したオーケストレーションツールのそれぞれのカスタムアクションコードをコピーできます。Jenkins を使用していて、パイプラインに Veracode セキュリティスキャンステップが既に含まれている場合は、パイプラインにカスタムアクションコードを追加する必要はありません。Veracode セキュリティスキャンステップで waitForScan: true が設定されていることを確認します。これは、システムがスキャン情報を取得するために必須です。
      • GitLab ツール用に Veracode を構成する場合は、汎用 Docker コンテナイメージを使用して Veracode セキュリティステップを追加するか、「 セキュリティツールを GitLab と統合する 」トピックで指定された手順を実行できます。
      • ハーネスパイプラインの場合、汎用Dockerコンテナイメージを使用してのみVeracodeスキャンを構成できます。詳細については、「汎用 Docker コンテナイメージを使用したパイプラインのカスタムアクションの実装」を参照してください。
      • または、カスタムアクションコードにセキュリティツール ID を追加して、パイプラインをセキュリティツールインスタンスに関連付けることもできます。これは、以前に関連付けられたツールインスタンスを上書きします。
      カスタムアクションコードをコピーするプレイブックアクティビティ

      パイプラインでの Veracode スキャンの構成については、「パイプラインでの Veracode スキャンの構成」を参照してください。

    8. アクティビティを完了としてマークします。
    9. [概要] ページで、[ツールレコードを表示] を選択して、接続されたインスタンスの詳細を確認します。

      プレイブックのサマリーページ

    次のタスク

    パイプラインでの Veracode スキャンの構成