'Mend Unified Agent' -Scans konfigurieren
Das Script 'Mend' führt den Abhängigkeitsscan von Mend Unified Agent in Ihrer DevSecOps-Pipeline aus und erfasst Angaben basierend auf den Scanergebnissen.
Der Abhängigkeitsscan 'Mend Unified Agent' wird für jedes Quellenrepository in Ihrer Pipeline ausgeführt, das von der Methode list_repos
zurückgegeben wird. Weitere Informationen finden Sie unter list_repos.
Das Script sucht im Stammverzeichnis jedes gescannten Quellenrepositorys nach einer vorhandenen Konfigurationsdatei. Weitere Informationen finden Sie unter Unified Agent-Konfigurationsparameter. Wenn die Konfigurationsdatei nicht gefunden wird, wird eine Standardkonfigurationsdatei für jede Pipelineausführung zur Ausführungszeit erstellt, aber nicht im Quellcode-Repository
als persistent definiert. Wenn die Konfigurationsdatei gefunden wird, übergibt das Script diese Konfigurationsdatei, wenn der Scan ausgeführt wird. Die Pipeline überschreibt die Eigenschaften apiKey
und userKey
in der
Konfigurationsdatei zur Ausführungszeit mit den Werten der Pipelineumgebungseigenschaften mend-org-token
und mend-user-key
.
Installieren Sie alle Buildabhängigkeiten, die für den Build Ihrer Quellenrepositorys erforderlich sind, bevor Sie das Script ausführen, um sicherzustellen, dass der Abhängigkeitsscan von Mend Unified Agent korrekte Ergebnisse zurückgibt.
Script ausführen
Sie müssen save_repo
verwenden, um mindestens ein Quellenrepository in pipelinectl
zu registrieren.
Erforderliche Mend Unified Agent-Parameter
Parametername | Beschreibung |
---|---|
mend-server-url |
Die Basis-URL des Mend-Servers. |
mend-org-token |
Die ID der Organisation. Verwenden Sie das von der Onboarding-Anforderung zurückgegebene Organisationstoken im Textfeld Org Token . |
mend-user-key |
Ein geheimer Produktservicebenutzer, der nach dem ServiceNow-Onboarding erstellt wird. |
mend-product-name |
Verwenden Sie den Produktnamen, der von der Onboarding-Anforderung zurückgegeben wird, im Textfeld Product Name on Mend . |
mend-product-token |
Verwenden Sie das Produkttoken, das von der Onboarding-Anforderung im Textfeld Product Token zurückgegeben wird. |
opt-in-mend |
Setzen Sie diesen Parameter auf einen beliebigen nicht leeren Zeichenfolgewert, um den Mend Unified Agent-Scan als Teil der Pipeline-Stage 'Compliance Checks' einzuschließen. |
Optionale Mend Unified Agent-Parameter
Parametername | Standardwert | Beschreibung |
---|---|---|
mend-config-file-name |
mendUnifiedAgent.config |
Der Dateiname der Mend Unified Agent-Konfigurationsdatei, nach der der Scan im Stammverzeichnis jedes gescannten Quellcode-Repositorys sucht. |
mend-print-scan-results |
false (Eigenschaft nicht festgelegt) |
Geben Sie eine Zeichenfolge mit einer Länge ungleich null ein, um jede JSON-Datei mit den Ergebnissen des Mend-Scans im Stageprotokoll auszugeben. |
mend-print-scan-summaries |
false (Eigenschaft ist nicht festgelegt) |
Geben Sie eine Zeichenfolge mit einer Länge ungleich null ein, um jeden Zusammenfassungsbericht für Mend-Scans im Stageprotokoll auszugeben. |
mend-jar-url |
https://unified-agent.s3.amazonaws.com/wss-unified-agent.jar |
Die Scanner-JAR-Datei, die für jede Pipelineausführung heruntergeladen wird |
Angaben und Anhänge
Die erstellten Angaben basieren auf den Werten in Tabelle 3. Die DevSecOps-Pipeline lädt Angaben in die Sperre hoch und schließt die Angaben in die Angabenzusammenfassung für Änderungsanforderungen ein.
Feld | Wert |
---|---|
Typ des Tools | mend |
Angabentyp | com.ibm.code_vulnerability_scan |
Assettyp | repo |
Anhänge | <scan report containing detected libraries and list of vulnerabilities in JSON> |
Anhänge | <scan summary report in text format> |
Debugging und Protokollierung
Parametername | Standardwert | Beschreibung |
---|---|---|
pipeline-debug | 0 | Debug-Flag 0 off 1 on |
Auf Scanergebnisse zugreifen
Sie können auf Ihre Scanergebnisse mit einer der folgenden Methoden zugreifen:
- Sie werden in der Mend-Benutzerschnittstelle angezeigt
- Festlegen der Umgebungseigenschaft der
mend-print-scan-results
-Pipeline, um die Pipeline anzuweisen, die JSON-Daten des Scanberichts im Phasenprotokoll auszugeben. - Festlegen der Pipelineumgebungseigenschaft
mend-print-scan-summaries
, um die Pipeline anzuweisen, den Text der Scanzusammenfassung im Phasenprotokoll auszugeben. - Verwenden Sie das Befehlszeilentool DevSecOps/CoCoa CLI , um Ihre Scanergebnisse aus dem Angabenfach herunterzuladen, indem Sie die im Phasenprotokoll ausgegebenen Informationen verwenden. Weitere Informationen finden Sie in den folgenden Ressourcen: