1. API ID 필드에 인스턴스의 API ID를 Veracode 입력합니다.
2. API 키 필드에 Veracode 인스턴스의 API 키를 입력합니다.

1. 도구에 대한 액세스를 제어하려면 유지 관리자 필드에 도구에 대한 액세스 권한을 부여해야 하는 그룹을 추가합니다.
   그룹에서 이러한 사용자가 수행할 수 있는 작업은 사용자에게 할당된 역할에 따라 다릅니다.

   • DevOps 도구 소유자 역할: 도구를 보고 편집할 수 있습니다.
   • DevOps 앱 소유자 역할: 도구를 볼 수 있으며 도구 객체(예: 계획, 리포지토리 및 파이프라인)의 파이프라인 단계를 연결, 검색, 임포트하고 파이프라인 단계(해당되는 경우)를 수정할 수 있습니다.
   • DevOps 관리자 역할: 모든 도구를 편집할 수 있습니다.
   • 기타 DevOps 역할: 도구를 볼 수 있습니다.
   주:

   그룹을 선택하지 않고 이 단계를 건너뛰면 도구 소유자 역할을 가진 DevOps 모든 사용자가 도구를 편집할 수 있습니다.
2. 도구에 대한 액세스를 제어하도록 선택하면 모든 앱 소유자가 도구 객체를 보고 애플리케이션에 연결할 수 있음 옵션을 선택할 수 있게 됩니다.

   이 옵션을 사용하면 앱 소유자 역할을 가진 DevOps 모든 사용자가 도구에 액세스할 수 있습니다. 선택하면 도구 객체의 보고, 연결, 검색, 과거 데이터를 임포트하고, 파이프라인 단계(해당되는 경우)를 수정할 수 있습니다.

3. 할당을 선택합니다.

온보딩하는 첫 번째 보안 도구 인스턴스인 경우에는 이 활동이 표시되지 않습니다.

• ServiceNow에 하나의 보안 인스턴스만 온보딩된 경우 파이프라인이 실행될 때 파이프라인이 자동으로 연결 Veracode 됩니다.
• 첫 번째 보안 도구 인스턴스를 온보딩하는 경우 ServiceNow에서 온보딩한 오케스트레이션 도구의 사용자 지정 작업 코드를 복사할 수 있습니다.
  • Azure DevOps 또는 GitHub Actions 오케스트레이션 도구를 사용하는 경우 파이프라인에 항상 사용자 지정 작업 코드를 추가해야 합니다.
  • Jenkins를 사용 중이고 파이프라인에 보안 검사 단계가 이미 있는 Veracode 경우에는 파이프라인에 사용자 지정 작업 코드를 추가할 필요가 없습니다. 보안 검사 단계에 VeracodewaitForScan: 예가 설정되어 있는지 확인합니다. 이는 시스템에서 스캔 정보를 검색하는 데 필요합니다.
• 온보딩하는 첫 번째 보안 도구 인스턴스가 아닌 경우 6단계에서 선택한 오케스트레이션 도구에 대한 각 사용자 지정 작업 코드를 복사할 수 있습니다. Jenkins를 사용 중이고 파이프라인에 Veracode 보안 검사 단계가 이미 있는 경우에는 파이프라인에 사용자 지정 작업 코드를 추가할 필요가 없습니다. Veracode 보안 검사 단계에 waitForScan: 예가 설정되어 있는지 확인합니다. 시스템에서 스캔 정보를 검색하려면 이 작업이 필수입니다.
• GitLab 도구에 대해 Veracode를 구성하려면 일반 Docker 컨테이너 이미지를 사용하여 Veracode 보안 단계를 추가하거나 주제에 와 보안 도구 통합 GitLab 지정된 단계를 수행할 수 있습니다.
• 하네스 파이프라인의 경우 일반 Docker 컨테이너 이미지를 통해서만 스캔을 구성할 Veracode 수 있습니다. 자세한 내용은 일반 Docker 컨테이너 이미지를 사용하여 파이프라인에 대한 사용자 지정 작업 구현 문서를 참조하십시오.
• 또는 사용자 지정 작업 코드에 보안 도구 ID를 추가하여 파이프라인을 보안 도구 인스턴스와 연결할 수 있습니다. 이렇게 하면 이전에 연결된 보안 도구 인스턴스가 재정의됩니다.

파이프라인에서 Veracode 스캔을 구성하는 방법에 대한 자세한 내용은 다음을 참조하십시오. 파이프라인에 대한 스캔 구성 Veracode