VeracodeとDevOps チェンジベロシティとの統合
CI/CD パイプラインと統合された Veracode インスタンスに接続して、セキュリティスキャン結果を取得します。これは、コードがどの程度脆弱であるかを判断するのに役立ちます。
Veracode 統合の概要
VeracodeGitHub Actions、Jenkins、およびAzure DevOpsパイプラインで構成されたスキャンは、DevOps チェンジベロシティ でサポートされています。GitLab ツールの Veracode を構成する場合は、「 セキュリティツールをと統合する GitLab」を参照してください。
- アップロードとスキャン
- 結果
パイプラインの任意のステージで Veracode スキャンを構成できます。スキャンの詳細は、対応するステージから取得されて DevOps チェンジベロシティされます。Azure DevOps または GitHub Actions オーケストレーション ツールを使用している場合は、常にパイプラインにカスタム アクション コードを追加する必要があります。Jenkins を使用していて、パイプラインに Veracode セキュリティスキャンステップが既に含まれている場合は、パイプラインにカスタムアクションコードを追加する必要はありません。Veracodeセキュリティスキャンステップに waitForScan: true が含まれていることを確認します。これは、システムがスキャン情報を取得するために必要です。
セキュリティスキャンの結果は、変更要求の関連リスト、パイプラインのタスク実行、または ServiceNow インスタンスのパイプライン UI で表示できます。また、セキュリティ結果を使用して、変更の自動化の変更ポリシーと条件を定義することもできます。
開始するには
Veracode インスタンスを ServiceNow に接続する前に、DevOps Vulnerability Integrations (sn_devops_vul_ints) プラグインおよび Vulnerability Response Integration with Veracode (sn_vul_veracode) プラグインをインストールする必要があります。プラグインのアクティブ化については、「Install a ServiceNow Store application」を参照してください。
ServiceNow でキャプチャされたスキャン結果の詳細については、「 セキュリティスキャン結果」を参照してください。
Veracodeをオンボーディングするには、次のいずれかのオプションを使用します。ガイド付きエクスペリエンスの場合は、ワークスペースを使用してツールをオンボーディングします。または、サービスカタログまたはクラシックエクスペリエンスを使用することもできます。