Veracode integração com Velocidade de mudança para DevOps

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Conecte-se à instância Veracode que está integrada aos pipelines de IC/CD para recuperar os resultados da verificação de segurança. Isso ajuda a determinar o quão vulnerável está o seu código.

    Visão geral da integração do Veracode

    Veracode verificações configuradas nos pipelines GitHub Actions, Jenkins, Azure DevOps, GitLab e Harness são compatíveis com Velocidade de mudança para DevOps.

    Certifique-se de que suas credenciais Veracode tenham as funções de API a seguir.
    • Carregar e Verificar
    • Resultados
    Para obter mais informações, consulte a documentação do Veracode.

    Você pode configurar Veracode verificações em qualquer fase do pipeline e os detalhes da verificação são recuperados da fase correspondente para Velocidade de mudança para DevOps. Se você estiver usando as ferramentas de orquestração do Azure DevOps ou do GitHub Actions, deverá sempre adicionar o código de ação personalizado ao pipeline. Se você estiver usando o Jenkins e o pipeline já tiver uma etapa de verificação de segurança Veracode, não será necessário adicionar o código de ação personalizado ao pipeline. Certifique-se de que a etapa de verificação de segurança Veracode tenha o estado "waitForScan: verdadeiro". Isso é necessário para que o sistema recupere as informações de verificação.

    Se você quiser configurar o Veracode para a ferramenta GitLab, poderá usar a imagem genérica do contêiner do Docker para adicionar a etapa de segurança do Veracode ou executar as etapas especificadas no tópico Integrar ferramentas de segurança com GitLab.

    Para pipelines do Harness, você pode configurar verificações Veracode somente por meio da imagem de contêiner genérica Docker. Para obter mais informações, consulte Implementar ações personalizadas para pipelines usando a imagem de contêiner genérica do Docker.

    Você pode exibir os resultados da verificação de segurança na lista relacionada de uma solicitação de mudança, na execução de tarefa do pipeline ou na IU do pipeline em sua instância ServiceNow. Você também pode usar os resultados de segurança na definição de políticas de mudança e condições para automação de mudanças.

    Iniciar

    Você deve instalar os plug-ins Integrações de vulnerabilidade de DevOps (sn_devops_vul_ints) e Integração de resposta a vulnerabilidades com Veracode (sn_vul_veracode) antes de conectar sua instância Veracode à ServiceNow. Para obter mais informações sobre como ativar um plug-in, consulte Install a ServiceNow Store application.

    Para obter mais informações sobre os resultados da verificação capturados na ServiceNow, consulte Resultados da verificação de segurança.

    Use uma das seguintes opções para integrar Veracode. Para uma experiência guiada, use o espaço para integrar uma ferramenta. Como alternativa, você pode usar o Catálogo de serviços ou a experiência clássica.