IBM Cloud Docs
一元化エージェント・スキャンの管理の構成

一元化エージェント・スキャンの管理の構成

Mend スクリプトは、DevSecOps パイプラインで Mend Unified Agent 依存関係スキャンを実行し、スキャン結果に基づいて証拠を収集します。

Mend Unified Agent 依存関係スキャンは、 list_repos メソッドによって返されるパイプライン内のソース・リポジトリーごとに実行されます。 詳しくは、 list_reposを参照してください。

このスクリプトは、スキャン対象の各ソース・リポジトリーのルートで既存の構成ファイルを検索します。 詳しくは、「 一元化エージェント構成パラメーター」を参照してください。 構成ファイルが見つからない場合は、実行時に実行されるパイプラインごとにデフォルトの構成ファイルが作成されますが、ソース・コード・リポジトリーには保持されません。 構成ファイルが見つかった場合、スクリプトはスキャンの実行時にその構成ファイルを渡します。 パイプラインは、実行時に構成ファイル内の apiKey および userKey プロパティーを、 mend-org-token および mend-user-key パイプライン環境プロパティーの値でオーバーライドします。

スクリプトを実行する前に、ビルドするソース・リポジトリーに必要なすべてのビルド依存関係をインストールして、Mend Unified Agent 依存関係スキャンが正確な結果を返すようにします。

スクリプトの実行

pipelinectlに少なくとも 1 つのソース・リポジトリーを登録するには、 save_repo を使用する必要があります。

一元化エージェントの必須パラメーター

Table 1. 必要な一元化エージェントのパラメーター
パラメーター名 説明
mend-server-url Mend サーバーのベース URL です。
mend-org-token 組織の ID です。 オンボーディング要求によって返された組織トークンを Org Token テキスト・フィールドで使用します。
mend-user-key ServiceNow のオンボーディング後に作成される秘密製品 ServiceUser。
mend-product-name オンボーディング要求によって Product Name on Mend テキスト・フィールドに返された製品名を使用します。
mend-product-token オンボーディング要求によって返された製品トークンを Product Token テキスト・フィールドで
opt-in-mend Mend Unified Agent スキャンをコンプライアンス・チェック・パイプライン・ステージの一部として含めるには、このパラメーターを任意の空でないストリング値に設定します。

オプションの Mend Unified Agent パラメーター

表 2: オプションの一元化エージェント・パラメーター
パラメーター名 デフォルト値 説明
mend-config-file-name mendUnifiedAgent.config スキャンされた各ソース・コード・リポジトリーのルートでスキャンが検索する Mend Unified Agent 構成ファイルのファイル名。
mend-print-scan-results false (プロパティーが設定されていない) 各 Mend スキャン結果 JSON ファイルをステージ・ログに出力するには、ゼロ以外の長さのストリングを入力します。
mend-print-scan-summaries false (プロパティーが設定されていない) ゼロ以外の長さのストリングを入力して、各 Mend スキャン要約レポートをステージ・ログに出力します。
mend-jar-url https://unified-agent.s3.amazonaws.com/wss-unified-agent.jar パイプライン実行ごとにダウンロードされるスキャナー JAR ファイル。

証拠と添付ファイル

作成されたエビデンスは、表 3 の値に基づいています。 DevSecOps パイプラインは、証拠をロッカーにアップロードし、その証拠を変更要求の証拠要約に含めます。

表 3. エビデンス・フィールドと値
フィールド
ツール・タイプ mend
証拠タイプ com.ibm.code_vulnerability_scan
資産タイプ repo
添付ファイル <scan report containing detected libraries and list of vulnerabilities in JSON>
添付ファイル <scan summary report in text format>

デバッグとロギング

表 4。 デバッグ・パラメーター
パラメーター名 デフォルト値 説明
pipeline-debug 0 デバッグ・フラグ 0 オフ 1 オン

スキャン結果へのアクセス

以下のいずれかの方法を使用して、スキャン結果にアクセスできます。

  • Mend UI での表示。
  • mend-print-scan-results パイプライン環境プロパティーを設定して、スキャン・レポート JSON をステージ・ログに出力するようにパイプラインに指示します。
  • mend-print-scan-summaries パイプライン環境プロパティーを設定して、スキャン・サマリー・テキストをステージ・ログに出力するようにパイプラインに指示します。
  • DevSecOps/Coa CLI コマンド・ライン・ツールを使用して、ステージ・ログに出力された情報を使用してエビデンス・ロッカーからスキャン結果をダウンロードします。 詳しくは、以下のリソースを参照してください。