DevOps와 Checkmarx의 통합 변경 속도
보안 검사 결과를 검색하려면 CI/CD 파이프라인과 통합된 Checkmarx 인스턴스에 연결합니다. 이렇게 하면 코드가 얼마나 취약한지 확인할 수 있습니다.
Checkmarx 통합 개요
, Jenkins및 Azure DevOps 파이프라인에 구성된 GitHub ActionsCheckmarx 스캔은 DevOps 변경 속도에서 지원됩니다. GitLab 도구에 대해 Checkmarx를 구성하려면 을 참조하십시오 보안 도구와 통합 GitLab.
DevOps Change Velocity에는 Checkmarx One과 Checkmarx SAST라는 두 가지 Checkmarx 도구를 통합할 수 있습니다. 자세한 내용은 Checkmarx One 및 Checkmarx SAST 설명서를 참조하세요.
Checkmarx SAST 사용자에게 요약 상세 정보를 얻기 위해 프로젝트 및 스캔 결과를 읽을 수 있는 권한이 있는 역할이 있는지 확인합니다. 자세한 내용은 Checkmarx 설명서를 참조하세요. 검사 요약 상세 정보에 액세스할 수 있는 Checkmarx One 사용자에게 create-scan 및 manage-project 역할이 있는지 확인합니다. 자세한 내용은 Checkmarx 설명서를 참조하세요.
파이프라인의 모든 스테이지에서 Checkmarx 스캔을 구성할 수 있으며 스캔 상세 정보는 해당 스테이지에서 DevOps 변경 속도로 검색됩니다. Azure DevOps 또는 GitHub Actions 오케스트레이션 도구를 사용하는 경우 항상 파이프라인에 사용자 지정 작업 코드를 추가해야 합니다. Jenkins를 사용 중이고 파이프라인에 Checkmarx One 보안 검사(checkmarxASTScanner) 단계가 이미 있는 경우 파이프라인에 사용자 지정 작업 코드를 추가할 필요가 없습니다. Checkmarx SAST의 경우 보안 검사 단계(checkmarxASTScanner)가 있더라도 사용자 지정 작업 코드를 파이프라인에 추가해야 합니다.
변경 요청의 관련 목록, 파이프라인의 작업 실행 또는 인스턴스의 ServiceNow 파이프라인 UI에서 보안 검사 결과를 볼 수 있습니다. 또한 변경 자동화에 대한 변경 정책 및 조건을 정의할 때 보안 결과를 사용할 수 있습니다.
시작하기
Checkmarx 인스턴스를 ServiceNow에 연결하기 전에 DevOps 취약성 통합(sn_devops_vul_ints) 및 Checkmarx One 취약성 통합(x_chec3_chexone) 또는 Checkmarx CxSAST 취약성 통합(x_chec3_cxsast) 플러그인을 설치해야 합니다. 플러그인 활성화에 대한 자세한 내용은 을 참조하십시오 Install a ServiceNow Store application .
ServiceNow에서 캡처한 스캔 결과에 대한 자세한 내용은 다음 문서를 참조하십시오 보안 스캔 결과.
다음 옵션 중 하나를 사용하여 Checkmarx를 온보딩합니다. 안내 환경을 위해 작업 공간을 사용하여 도구를 온보딩합니다. 또는 서비스 카탈로그 또는 클래식 환경을 사용할 수 있습니다.