IBM Cloud Docs
'Mend Unified Agent' -Scans konfigurieren

'Mend Unified Agent' -Scans konfigurieren

Das Script 'Mend' führt den Abhängigkeitsscan von Mend Unified Agent in Ihrer DevSecOps-Pipeline aus und erfasst Angaben basierend auf den Scanergebnissen.

Der Abhängigkeitsscan 'Mend Unified Agent' wird für jedes Quellenrepository in Ihrer Pipeline ausgeführt, das von der Methode list_repos zurückgegeben wird. Weitere Informationen finden Sie unter list_repos.

Das Script sucht im Stammverzeichnis jedes gescannten Quellenrepositorys nach einer vorhandenen Konfigurationsdatei. Weitere Informationen finden Sie unter Unified Agent-Konfigurationsparameter. Wenn die Konfigurationsdatei nicht gefunden wird, wird eine Standardkonfigurationsdatei für jede Pipelineausführung zur Ausführungszeit erstellt, aber nicht im Quellcode-Repository als persistent definiert. Wenn die Konfigurationsdatei gefunden wird, übergibt das Script diese Konfigurationsdatei, wenn der Scan ausgeführt wird. Die Pipeline überschreibt die Eigenschaften apiKey und userKey in der Konfigurationsdatei zur Ausführungszeit mit den Werten der Pipelineumgebungseigenschaften mend-org-token und mend-user-key .

Installieren Sie alle Buildabhängigkeiten, die für den Build Ihrer Quellenrepositorys erforderlich sind, bevor Sie das Script ausführen, um sicherzustellen, dass der Abhängigkeitsscan von Mend Unified Agent korrekte Ergebnisse zurückgibt.

Script ausführen

Sie müssen save_repo verwenden, um mindestens ein Quellenrepository in pipelinectlzu registrieren.

Erforderliche Mend Unified Agent-Parameter

Tabelle 1. Erforderliche Mend Unified Agent-Parameter
Parametername Beschreibung
mend-server-url Die Basis-URL des Mend-Servers.
mend-org-token Die ID der Organisation. Verwenden Sie das von der Onboarding-Anforderung zurückgegebene Organisationstoken im Textfeld Org Token .
mend-user-key Ein geheimer Produktservicebenutzer, der nach dem ServiceNow-Onboarding erstellt wird.
mend-product-name Verwenden Sie den Produktnamen, der von der Onboarding-Anforderung zurückgegeben wird, im Textfeld Product Name on Mend .
mend-product-token Verwenden Sie das Produkttoken, das von der Onboarding-Anforderung im Textfeld Product Token zurückgegeben wird.
opt-in-mend Setzen Sie diesen Parameter auf einen beliebigen nicht leeren Zeichenfolgewert, um den Mend Unified Agent-Scan als Teil der Pipeline-Stage 'Compliance Checks' einzuschließen.

Optionale Mend Unified Agent-Parameter

Tabelle 2. Optionale Mend Unified Agent-Parameter
Parametername Standardwert Beschreibung
mend-config-file-name mendUnifiedAgent.config Der Dateiname der Mend Unified Agent-Konfigurationsdatei, nach der der Scan im Stammverzeichnis jedes gescannten Quellcode-Repositorys sucht.
mend-print-scan-results false (Eigenschaft nicht festgelegt) Geben Sie eine Zeichenfolge mit einer Länge ungleich null ein, um jede JSON-Datei mit den Ergebnissen des Mend-Scans im Stageprotokoll auszugeben.
mend-print-scan-summaries false (Eigenschaft ist nicht festgelegt) Geben Sie eine Zeichenfolge mit einer Länge ungleich null ein, um jeden Zusammenfassungsbericht für Mend-Scans im Stageprotokoll auszugeben.
mend-jar-url https://unified-agent.s3.amazonaws.com/wss-unified-agent.jar Die Scanner-JAR-Datei, die für jede Pipelineausführung heruntergeladen wird

Angaben und Anhänge

Die erstellten Angaben basieren auf den Werten in Tabelle 3. Die DevSecOps-Pipeline lädt Angaben in die Sperre hoch und schließt die Angaben in die Angabenzusammenfassung für Änderungsanforderungen ein.

Tabelle 3. Angabenfelder und -werte
Feld Wert
Typ des Tools mend
Angabentyp com.ibm.code_vulnerability_scan
Assettyp repo
Anhänge <scan report containing detected libraries and list of vulnerabilities in JSON>
Anhänge <scan summary report in text format>

Debugging und Protokollierung

Tabelle 4. Debugparameter
Parametername Standardwert Beschreibung
pipeline-debug 0 Debug-Flag 0 off 1 on

Auf Scanergebnisse zugreifen

Sie können auf Ihre Scanergebnisse mit einer der folgenden Methoden zugreifen:

  • Sie werden in der Mend-Benutzerschnittstelle angezeigt
  • Festlegen der Umgebungseigenschaft der mend-print-scan-results -Pipeline, um die Pipeline anzuweisen, die JSON-Daten des Scanberichts im Phasenprotokoll auszugeben.
  • Festlegen der Pipelineumgebungseigenschaft mend-print-scan-summaries , um die Pipeline anzuweisen, den Text der Scanzusammenfassung im Phasenprotokoll auszugeben.
  • Verwenden Sie das Befehlszeilentool DevSecOps/CoCoa CLI , um Ihre Scanergebnisse aus dem Angabenfach herunterzuladen, indem Sie die im Phasenprotokoll ausgegebenen Informationen verwenden. Weitere Informationen finden Sie in den folgenden Ressourcen: