파이프라인에서 스캔 구성 Veracode
Azure DevOps, Jenkins, GitHub, GitLab 또는 Harness 파이프라인에서 검사를 구성합니다 Veracode .
파이프라인의 모든 단계에서 스캔을 구성할 Veracode 수 있으며 스캔 상세 정보는 DevOps 변경 속도에 해당하는 스테이지에서 검색됩니다. Azure DevOps 또는 GitHub Actions 오케스트레이션 도구를 사용하는 경우 항상 파이프라인에 사용자 지정 작업 코드를 추가해야 합니다. Jenkins를 사용 중이고 파이프라인에 Veracode 보안 검사 단계가 이미 있는 경우에는 파이프라인에 사용자 지정 작업 코드를 추가할 필요가 없습니다. Veracode 보안 스캔 단계에 waitForScan: true가 있는지 확인합니다. 이는 시스템에서 스캔 정보를 검색하는 데 필요합니다.
GitLab 도구에 대해 Veracode를 구성하려는 경우 일반 Docker 컨테이너 이미지를 사용하여 Veracode 보안 단계를 추가하거나 주제에 지정된 와 보안 도구 통합 GitLab 단계를 수행할 수 있습니다.
하네스 파이프라인의 경우 일반 Docker 컨테이너 이미지를 통해서만 스캔을 구성할 Veracode 수 있습니다. 자세한 내용은 일반 Docker 컨테이너 이미지를 사용하여 파이프라인에 대한 사용자 지정 작업 구현 문서를 참조하십시오.
- 파이프라인의 단계로 이동하여 사용자 지정 작업을 추가합니다.
Azure DevOps - 파이프라인 .yml 파일로 이동합니다.
- 오른쪽의 작업 섹션에서 ServiceNow DevOps 보안 결과 확장 작업을 검색합니다.
- ServiceNow 엔드포인트를 입력합니다.
- 다음과 같이 보안 결과 속성을 입력합니다.
{ "scanner": "Veracode", "applicationName": "", "buildVersion": "", "securityToolId": "" }스캐너: 스캔 도구이며 필요합니다(예: Veracode).
applicationName: Veracode 애플리케이션의 이름이며 필수입니다. 이 특성은 Veracode에만 적용할 수 있습니다.
buildVersion: Veracode 검사 이름/빌드 버전이며 선택 사항입니다. 이 특성은 Veracode에만 적용할 수 있습니다.
securityToolId: ServiceNow에 온보딩된 보안 도구(온보딩된 보안 도구의 sys_id)이며 선택 사항입니다.
- 추가를 선택하여 파이프라인에 사용자 지정 작업 코드를 추가합니다.
젠킨스 - 구성된 파이프라인에서 파이프라인 구문으로 이동합니다.
- 샘플 단계 목록에서 snDevOpsSecurityResult 단계를 선택하고 단계에서 보안 검사 속성 값을 업데이트합니다.
- 파이프라인 스크립트 생성을 선택하여 스니펫을 생성합니다. 스니펫을 복사하여 파이프라인에 붙여넣을 수 있습니다.
snDevOpsSecurityResult { securityResultAttributes:{"scanner":"Veracode", "applicationName": "", "buildVersion": "", "securityToolId": ""}}스캐너: 스캔 도구이며 필요합니다(예: Veracode).
applicationName: Veracode 애플리케이션의 이름이며 필수입니다. 이 특성은 Veracode에만 적용할 수 있습니다.
buildVersion: Veracode 검사 이름/빌드 버전이며 선택 사항입니다. 이 특성은 Veracode에만 적용할 수 있습니다.
securityToolId: ServiceNow에 온보딩된 보안 도구(온보딩된 보안 도구의 sys_id)이며 선택 사항입니다.
GitHub 작업 - 워크플로우 .yml 파일로 이동합니다.
- 오른쪽의 마켓플레이스 섹션에서 ServiceNow DevOps 보안 결과 사용자 지정 작업을 검색합니다.
- .yml 파일에 다음 코드 조각을 추가합니다.
SecurityScanResults: needs: build runs-on: ubuntu-latest name: Servicenow Security Scan Results steps: - name: ServiceNow DevOps Security Results uses: ServiceNow/servicenow-devops-security-result@v1.39.0 with: devops-integration-user-name: ${{ secrets.SN_DEVOPS_USER }} devops-integration-user-password: ${{ secrets.SN_DEVOPS_PASSWORD }} instance-url: ${{ secrets.SN_INSTANCE_URL }} tool-id: ${{ secrets.SN_ORCHESTRATION_TOOL_ID }} context-github: ${{ toJSON(github) }} job-name: 'Servicenow Security Scan Results' security-result-attributes: '{ "scanner": "Veracode", "applicationName": "", "buildVersion": "", "securityToolId": ""}스캐너: 스캔 도구이며 필요합니다(예: Veracode).
applicationName: Veracode 애플리케이션의 이름이며 필수입니다. 이 특성은 Veracode에만 적용할 수 있습니다.
buildVersion: Veracode 검사 이름/빌드 버전이며 선택 사항입니다. 이 특성은 Veracode에만 적용할 수 있습니다.
securityToolId: ServiceNow에 온보딩된 보안 도구(온보딩된 보안 도구의 sys_id)이며 선택 사항입니다.
마구 일반 Docker 컨테이너 이미지를 실행하여 다음 스크립트를 사용합니다. 자세한 내용은 일반 Docker 컨테이너 이미지를 사용하여 파이프라인에 대한 사용자 지정 작업 구현 문서를 참조하십시오. - stage: name: ServiceNow DevOps Security Result identifier: Security description: "" type: Custom spec: execution: steps: - stepGroup: name: Security identifier: Security steps: - step: type: Run name: ServiceNow DevOps Security Result identifier: ServiceNow_DevOps_Security_Result spec: connectorRef: docker_hub_connector_for_harness image: servicenowdocker/sndevops:5.0.0 shell: Sh command: |- sndevopscli create securityScan -p "{"pipelineInfo":{ "buildNumber":"<+stage.nodeExecutionId>", "taskExecutionUrl":"<+pipeline.executionUrl>?stage=<+stage.nodeExecutionId>", "orchestrationPipeline":"<+org.identifier>/<+project.identifier>/<+pipeline.name>" }, "securityResultAttributes":{ "scanner":"Veracode", "applicationName":"", "buildVersion":"", "securityToolId":"" } }" envVariables: SNOW_URL: <+variable.SNOW_URL> SNOW_TOOLID: <+variable.SNOW_TOOLID> SNOW_TOKEN: <+variable.SNOW_TOKEN> stepGroupInfra: type: KubernetesDirect spec: connectorRef: kubernates_connector namespace: harness-delegate-ng tags: {} - 파이프라인을 실행하여 보안 검사 결과를 검색합니다.