파이프라인에 대한 스캔 구성 Veracode
Azure DevOps, Jenkins, GitHub, GitLab 또는 Harness 파이프라인에 대한 검사를 구성 Veracode 합니다.
파이프라인의 모든 단계에서 스캔을 구성할 Veracode 수 있으며 해당 스테이지에서 DevOps 변경 속도에 스캔 상세 정보가 검색됩니다. Azure DevOps 또는 GitHub Actions 오케스트레이션 도구를 사용하는 경우 파이프라인에 항상 사용자 지정 작업 코드를 추가해야 합니다. Jenkins를 사용 중이고 파이프라인에 보안 검사 단계가 이미 있는 Veracode 경우에는 파이프라인에 사용자 지정 작업 코드를 추가할 필요가 없습니다. 보안 검사 단계에 Veracode waitForScan: 예가 설정되어 있는지 확인합니다. 이는 시스템에서 스캔 정보를 검색하는 데 필요합니다.
GitLab 도구에 대해 Veracode를 구성하려면 일반 Docker 컨테이너 이미지를 사용하여 Veracode 보안 단계를 추가하거나 주제에 와 보안 도구 통합 GitLab 지정된 단계를 수행할 수 있습니다.
하네스 파이프라인의 경우 일반 Docker 컨테이너 이미지를 통해서만 스캔을 구성할 Veracode 수 있습니다. 자세한 내용은 일반 Docker 컨테이너 이미지를 사용하여 파이프라인에 대한 사용자 지정 작업 구현 문서를 참조하십시오.
- 파이프라인의 단계로 이동하여 사용자 지정 작업을 추가합니다.
Azure DevOps - 파이프라인 .yml 파일로 이동합니다.
- 오른쪽의 작업 섹션에서 ServiceNow DevOps 보안 결과 확장 작업을 검색합니다.
- ServiceNow 엔드포인트를 입력합니다.
- 다음과 같이 보안 결과 속성을 입력합니다.
{ "scanner": "Veracode", "applicationName": "", "buildVersion": "", "securityToolId": "" }스캐너: 스캐닝 도구 및 필수 요소(예: Veracode).
applicationName: Veracode 애플리케이션의 이름이며 필수입니다. 이 속성은 Veracode에만 적용됩니다.
buildVersion: Veracode 스캔 이름/빌드 버전이며 선택 사항입니다. 이 속성은 Veracode에만 적용됩니다.
securityToolId: ServiceNow(온보딩된 보안 도구의 sys_id)에 온보딩된 보안 도구이며 선택 사항입니다.
- 추가를 선택하여 파이프라인에 사용자 지정 작업 코드를 추가합니다.
젠킨스 - 구성된 파이프라인에서 파이프라인 구문으로 이동합니다.
- 샘플 단계 목록에서 snDevOpsSecurityResult 단계를 선택하고 단계의 보안 검사 속성 값을 업데이트합니다.
- 파이프라인 스크립트 생성을 선택하여 스니펫을 생성합니다. 스니펫을 복사하여 파이프라인에 붙여넣을 수 있습니다.
snDevOpsSecurityResult { securityResultAttributes:{"scanner":"Veracode", "applicationName": "", "buildVersion": "", "securityToolId": ""}}스캐너: 스캐닝 도구 및 필수 요소(예: Veracode).
applicationName: Veracode 애플리케이션의 이름이며 필수입니다. 이 속성은 Veracode에만 적용됩니다.
buildVersion: Veracode 스캔 이름/빌드 버전이며 선택 사항입니다. 이 속성은 Veracode에만 적용됩니다.
securityToolId: ServiceNow(온보딩된 보안 도구의 sys_id)에 온보딩된 보안 도구이며 선택 사항입니다.
GitHub 작업 - 워크플로우 .yml 파일로 이동합니다.
- 오른쪽의 마켓플레이스 섹션에서 ServiceNow DevOps 보안 결과 사용자 지정 작업을 검색합니다.
- 다음 스니펫을 .yml 파일에 추가합니다.
SecurityScanResults: needs: build runs-on: ubuntu-latest name: Servicenow Security Scan Results steps: - name: ServiceNow DevOps Security Results uses: ServiceNow/servicenow-devops-security-result@v1.39.0 with: devops-integration-user-name: ${{ secrets.SN_DEVOPS_USER }} devops-integration-user-password: ${{ secrets.SN_DEVOPS_PASSWORD }} instance-url: ${{ secrets.SN_INSTANCE_URL }} tool-id: ${{ secrets.SN_ORCHESTRATION_TOOL_ID }} context-github: ${{ toJSON(github) }} job-name: 'Servicenow Security Scan Results' security-result-attributes: '{ "scanner": "Veracode", "applicationName": "", "buildVersion": "", "securityToolId": ""}스캐너: 스캐닝 도구 및 필수 요소(예: Veracode).
applicationName: Veracode 애플리케이션의 이름이며 필수입니다. 이 속성은 Veracode에만 적용됩니다.
buildVersion: Veracode 스캔 이름/빌드 버전이며 선택 사항입니다. 이 속성은 Veracode에만 적용됩니다.
securityToolId: ServiceNow(온보딩된 보안 도구의 sys_id)에 온보딩된 보안 도구이며 선택 사항입니다.
마구 일반 Docker 컨테이너 이미지를 실행하여 다음 스크립트를 사용합니다. 자세한 내용은 일반 Docker 컨테이너 이미지를 사용하여 파이프라인에 대한 사용자 지정 작업 구현 문서를 참조하십시오. - stage: name: ServiceNow DevOps Security Result identifier: Security description: "" type: Custom spec: execution: steps: - stepGroup: name: Security identifier: Security steps: - step: type: Run name: ServiceNow DevOps Security Result identifier: ServiceNow_DevOps_Security_Result spec: connectorRef: docker_hub_connector_for_harness image: servicenowdocker/sndevops:5.0.0 shell: Sh command: |- sndevopscli create securityScan -p "{"pipelineInfo":{ "buildNumber":"<+stage.nodeExecutionId>", "taskExecutionUrl":"<+pipeline.executionUrl>?stage=<+stage.nodeExecutionId>", "orchestrationPipeline":"<+org.identifier>/<+project.identifier>/<+pipeline.name>" }, "securityResultAttributes":{ "scanner":"Veracode", "applicationName":"", "buildVersion":"", "securityToolId":"" } }" envVariables: SNOW_URL: <+variable.SNOW_URL> SNOW_TOOLID: <+variable.SNOW_TOOLID> SNOW_TOKEN: <+variable.SNOW_TOKEN> stepGroupInfra: type: KubernetesDirect spec: connectorRef: kubernates_connector namespace: harness-delegate-ng tags: {} - 파이프라인을 실행하여 보안 검사 결과를 검색합니다.