Integrar Veracode em Velocidade de mudança para DevOps - Espaço

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Conecte-se à sua instância Veracode usando o playbook do Espaço de mudança de DevOps.

    Antes de Iniciar

    Conclua as tarefas especificadas no tópico Comece com Velocidade de mudança para DevOps.

    Função necessária: sn_devops.admin ou sn_devops.tool_owner

    Procedimento

    1. Navegar até Espaços > Espaço de mudança de DevOps e use uma das seguintes opções para abrir o Playbook para integração Veracode.
      OpçãoEtapas
      Página inicial
      1. Selecione o widget de ferramentas do Connect
      2. No modal Conectar a uma ferramenta, selecione Veracode na categoria Segurança.
      Módulo de aplicações
      1. Selecione Aplicações ( ícone Aplicações).
      2. Selecione uma aplicação existente ou crie uma. Para criar uma aplicação, consulte Criar uma aplicação - Clássico.
      3. No painel Ações recomendadas, selecione o cartão Conectar a uma ferramenta.
      4. No modal Conectar a uma ferramenta, selecione Veracode na categoria Segurança.
      Módulo de ferramentas
      1. Selecione Ferramentas ( ícone Ferramentas).
      2. Na lista Capacidade, selecione Segurança.
      3. Selecione Conectar uma ferramenta.
      4. No modal Conectar-se a uma ferramenta, selecione Veracode.
    2. Insira um nome para identificar sua ferramenta e selecione Avançar.Conectar à ferramenta Veracode no playbook
    3. Na seção de atividade do playbook Inserir detalhes da instância do Veracode, insira as seguintes credenciais:
      1. No campo ID da API, insira o ID da API da sua instância Veracode.
      2. No campo Chave de API, insira a chave de API da sua instância do Veracode.
      Nota:
      Certifique-se de que suas Veracode credenciais tenham as funções de API a seguir.
      • Carregar e Verificar
      • Resultados
      Para obter mais informações, consulte https://docs.veracode.com/r/c_API_roles_details.
    4. Selecione Conectar e revise os detalhes da instância do Veracode conectada com sucesso.

      Atividade do playbook para inserir detalhes da instância do Veracode

    5. Especifique o acesso para a ferramenta.
      1. Se você quiser controlar o acesso à ferramenta, adicione os grupos que devem ter acesso à ferramenta no campo Mantido por.
        As tarefas que esses usuários nos grupos podem executar dependem da função atribuída a eles.
        • DevOps Função de proprietário da ferramenta: pode exibir e editar a ferramenta.
        • DevOps Função de proprietário da aplicação: pode exibir a ferramenta e associar, descobrir, importar dados históricos e modificar etapas do pipeline (se aplicável) dos objetos da ferramenta (como planos, repositórios e pipelines).
        • DevOps Função de administrador: pode editar todas as ferramentas.
        • Outras funções DevOps : pode exibir a ferramenta.
        Nota:
        Se você não selecionar um grupo e ignorar esta etapa, todos os usuários com a função de proprietário da ferramenta DevOps poderão editar a ferramenta.
      2. Se você optar por controlar o acesso à ferramenta, a opção Todos os proprietários de app podem exibir e associar objetos de ferramenta a aplicações ficará disponível para seleção.

        Esta opção permite que todos os usuários com a função de proprietário de app DevOps acessem a ferramenta. Se selecionado, eles poderão exibir, associar, descobrir, importar dados históricos e modificar etapas do pipeline (se aplicável) dos objetos da ferramenta.

      3. Selecione Atribuir.

      Atividade do playbook para especificar o nível de acesso

    6. Se esta não for a primeira instância da ferramenta de segurança que você está integrando, selecione a ferramenta de orquestração a ser associada à sua instância da ferramenta de segurança na atividade do playbook Associar instâncias da ferramenta de orquestração.

      Esta atividade não será exibida se esta for a primeira instância da ferramenta de segurança que você está integrando.

      Nota:
      Esta atividade do playbook será necessária somente se você estiver integrando mais de uma instância da ferramenta de segurança. Quando várias instâncias da ferramenta de segurança são integradas à ServiceNow, você deve associar apenas uma das instâncias da ferramenta de segurança à mesma ferramenta de orquestração ou registro de pipeline.
      Atividade do playbook para associar instâncias da ferramenta de orquestração a uma ferramenta de segurança
    7. Na seção de atividade do playbook Adicionar ação personalizada aos pipelines, copie o código de ação personalizada necessário e adicione-o como uma etapa no pipeline.
      • Se apenas uma instância de segurança estiver integrada na ServiceNow, os pipelines serão associados automaticamente a Veracode quando o pipeline for executado.
      • Se esta for a primeira instância da ferramenta de segurança que você está integrando, os códigos de ação personalizados da ferramenta de orquestração que você integrou na ServiceNow estarão disponíveis para cópia.
        • Se você estiver usando as ferramentas de orquestração de ações do Azure DevOps ou do GitHub, deverá sempre adicionar o código de ação personalizado ao pipeline.
        • Se você estiver usando o Jenkins e o pipeline já tiver uma etapa de verificação de segurança Veracode, não será necessário adicionar o código de ação personalizado ao pipeline. Certifique-se de que a Veracode etapa de verificação de segurança tenha o estadowaitForScan: true. Isso é necessário para que o sistema recupere as informações de verificação.
      • Se esta não for a primeira instância da ferramenta de segurança que você está integrando, os respectivos códigos de ação personalizados das ferramentas de orquestração que você selecionou na etapa 6 estarão disponíveis para cópia. Se você estiver usando o Jenkins e o pipeline já tiver uma etapa de verificação de segurança Veracode, não será necessário adicionar o código de ação personalizado ao pipeline. Certifique-se de que a etapa de verificação de segurança do Veracode tenha o estado "waitForScan: true". Isso é obrigatório para o sistema recuperar as informações de verificação.
      • Se você quiser configurar o Veracode para a ferramenta GitLab, poderá usar a imagem genérica do contêiner do Docker para adicionar a etapa de segurança do Veracode ou executar as etapas especificadas no tópico Integrar ferramentas de segurança com GitLab.
      • Para pipelines do Harness, você pode configurar verificações Veracode somente por meio da imagem de contêiner genérica Docker. Para obter mais informações, consulte Implementar ações personalizadas para pipelines usando a imagem de contêiner genérica do Docker.
      • Como alternativa, você pode associar o pipeline à instância da ferramenta de segurança adicionando o ID da ferramenta de segurança ao código de ação personalizada. Isso substituirá qualquer instância da ferramenta de segurança associada anteriormente.
      Atividade do playbook para copiar código de ação personalizada

      Para obter informações sobre como configurar as verificações do Veracode no pipeline, consulte Configurar Veracode verificações em seu pipeline

    8. Marque a atividade como concluída.
    9. Na página Resumo, selecione Exibir registro da ferramenta para revisar os detalhes da instância conectada.

      Página de resumo no playbook

    O que Fazer Depois

    Configurar Veracode verificações em seu pipeline