VeracodeDevOps 変更速度管理との統合

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:3分

    • CI/CD パイプラインと統合されている Veracode インスタンスに接続して、セキュリティスキャンの結果を取得します。これは、コードがどの程度脆弱であるかを判断するのに役立ちます。

    Veracode 統合の概要

    GitHub ActionsJenkinsAzure DevOps、GitLab、および Harness パイプラインで構成された Veracode スキャンは、DevOps 変更速度管理でサポートされています。

    Veracode 認証情報に次の API ロールがあることを確認します。
    • アップロードとスキャン
    • 結果
    詳細については、Veracodeドキュメントを参照してください。

    パイプラインの任意のステージで Veracode スキャンを構成することができ、スキャンの詳細は対応するステージから DevOps 変更速度管理 へ取得されます。Azure DevOps または GitHub アクションオーケストレーションツールを使用している場合は、常にパイプラインにカスタムアクションコードを追加する必要があります。Jenkins を使用していて、パイプラインに Veracode セキュリティスキャンステップが既に含まれている場合は、パイプラインにカスタムアクションコードを追加する必要はありません。Veracode セキュリティスキャンステップに waitForScan: true があることを確認します。これは、システムがスキャン情報を取得するために必要です。

    GitLab ツール用に Veracode を構成する場合は、汎用 Docker コンテナイメージを使用して Veracode セキュリティステップを追加するか、「セキュリティツールを GitLab と統合する」トピックで指定された手順を実行できます。

    ハーネスパイプラインの場合、汎用Dockerコンテナイメージを使用してのみVeracodeスキャンを構成できます。詳細については、「汎用 Docker コンテナイメージを使用したパイプラインのカスタムアクションの実装」を参照してください。

    セキュリティスキャンの結果は、変更要求の関連リスト、パイプラインのタスク実行、または ServiceNow インスタンスのパイプライン UI で表示できます。セキュリティの結果を使用して、変更ポリシーと変更自動化の条件を定義することもできます。

    開始するには

    Veracode インスタンスを ServiceNow に接続する前に、DevOps 脆弱性統合 (DevOps Vulnerability Integrations) (sn_devops_vul_ints) プラグインおよび 脆弱性対応と Veracode の統合 (sn_vul_veracode) プラグインをインストールする必要があります。プラグインのアクティブ化については、「Install a ServiceNow Store application」を参照してください。
    注:
    • DevOps 脆弱性統合プラグイン (sn_devops_vul_ints) がインストールされると、sn_vul.app_sec_manager ロールが DevOps ツールオーナー [sn_devops.tool_owner] ロールに追加されます。
    • sn_vul_veracode.configure_integration ロールは、Vulnerability Response Integration with Veracode プラグイン (sn_vul_veracode) がインストールされている場合に DevOps ツールオーナー [sn_devops.tool_owner] ロールに追加されます。

    ServiceNow でキャプチャされたスキャン結果の詳細については、「セキュリティスキャン結果」を参照してください。

    Veracode をオンボーディングするには、次のいずれかのオプションを使用します。ガイド付きエクスペリエンスのため、ワークスペースを使用して、ツールをオンボーディングします。あるいは、サービスカタログまたはクラシックエクスペリエンスを使用できます。