Checkmarx 통합 개요

, Jenkins, Azure DevOps, GitLab 및 Harness 파이프라인에 GitHub Actions구성된 Checkmarx 스캔은 에서 지원됩니다DevOps 변경 속도.

DevOps Change Velocity와 통합할 수 있는 Checkmarx 도구 (Checkmarx One 및 Checkmarx SAST) 두 가지입니다. 자세한 정보는 Checkmarx One 및 Checkmarx SAST 문서를 참조하십시오.

Checkmarx SAST 사용자에게 프로젝트 및 스캔 결과를 읽고 요약 상세 정보를 얻을 수 있는 권한이 있는 역할이 있는지 확인합니다. 자세한 내용은 Checkmarx 설명서를 참조하십시오. Checkmarx One 사용자에게 스캔 요약 상세 정보에 액세스할 수 있는 생성-스캔 및 프로젝트 관리 역할이 있는지 확인합니다. 자세한 내용은 Checkmarx 설명서를 참조하십시오.

파이프라인의 모든 스테이지에서 Checkmarx 스캔을 구성할 수 있으며 해당 스테이지에서 DevOps 변경 속도에 대한 스캔 상세 정보가 검색됩니다. Azure DevOps 또는 GitHub Actions 오케스트레이션 도구를 사용하는 경우 파이프라인에 항상 사용자 지정 작업 코드를 추가해야 합니다. Jenkins를 사용 중이고 파이프라인에 Checkmarx One 보안 검사(checkmarxASTScanner) 단계가 이미 있는 경우에는 파이프라인에 사용자 지정 작업 코드를 추가할 필요가 없습니다. Checkmarx SAST의 경우 보안 검사 단계(checkmarxASTScanner)가 있더라도 파이프라인에 사용자 지정 작업 코드를 추가해야 합니다.

GitLab 도구에 대해 Checkmarx를 구성하려면 일반 Docker 컨테이너 이미지를 사용하여 Checkmarx 보안 단계를 추가하거나 주제에 와 보안 도구 통합 GitLab 지정된 단계를 수행할 수 있습니다.

하네스 파이프라인의 경우 일반 Docker 컨테이너 이미지를 통해서만 Checkmarx 스캔을 구성할 수 있습니다. 자세한 내용은 일반 Docker 컨테이너 이미지를 사용하여 파이프라인에 대한 사용자 지정 작업 구현 문서를 참조하십시오.

변경 요청의 관련 목록, 파이프라인의 작업 실행 또는 인스턴스의 파이프라인 UI에서 보안 검사 결과를 볼 수 있습니다 ServiceNow . 또한 변경 자동화를 위한 변경 정책 및 조건을 정의할 때 보안 결과를 사용할 수 있습니다.

시작

Checkmarx 인스턴스를 ServiceNow에 연결하기 전에 DevOps 취약성 통합(sn_devops_vul_ints) 및 Checkmarx One 취약성 통합(x_chec3_chexone) 또는 Checkmarx CxSAST 취약성 통합(x_chec3_cxsast) 플러그인을 설치해야 합니다. 플러그인 활성화에 대한 자세한 내용은 Install a ServiceNow Store application 문서를 참조하십시오.

ServiceNow에서 캡처한 스캔 결과에 대한 자세한 내용은 다음 문서를 참조하십시오 보안 스캔 결과.

다음 옵션 중 하나를 사용하여 Checkmarx를 온보딩합니다. 안내 경험의 경우 작업 공간을 사용하여 도구를 온보딩합니다. 또는 서비스 카탈로그 또는 클래식 환경을 사용할 수 있습니다.