一元化エージェント・スキャンの管理の構成
Mend スクリプトは、DevSecOps パイプラインで Mend Unified Agent 依存関係スキャンを実行し、スキャン結果に基づいて証拠を収集します。
Mend Unified Agent 依存関係スキャンは、 list_repos
メソッドによって返されるパイプライン内のソース・リポジトリーごとに実行されます。 詳しくは、 list_reposを参照してください。
このスクリプトは、スキャン対象の各ソース・リポジトリーのルートで既存の構成ファイルを検索します。 詳しくは、「 一元化エージェント構成パラメーター」を参照してください。 構成ファイルが見つからない場合は、実行時に実行されるパイプラインごとにデフォルトの構成ファイルが作成されますが、ソース・コード・リポジトリーには保持されません。
構成ファイルが見つかった場合、スクリプトはスキャンの実行時にその構成ファイルを渡します。 パイプラインは、実行時に構成ファイル内の apiKey
および userKey
プロパティーを、 mend-org-token
および mend-user-key
パイプライン環境プロパティーの値でオーバーライドします。
スクリプトを実行する前に、ビルドするソース・リポジトリーに必要なすべてのビルド依存関係をインストールして、Mend Unified Agent 依存関係スキャンが正確な結果を返すようにします。
スクリプトの実行
pipelinectl
に少なくとも 1 つのソース・リポジトリーを登録するには、 save_repo
を使用する必要があります。
一元化エージェントの必須パラメーター
パラメーター名 | 説明 |
---|---|
mend-server-url |
Mend サーバーのベース URL です。 |
mend-org-token |
組織の ID です。 オンボーディング要求によって返された組織トークンを Org Token テキスト・フィールドで使用します。 |
mend-user-key |
ServiceNow のオンボーディング後に作成される秘密製品 ServiceUser。 |
mend-product-name |
オンボーディング要求によって Product Name on Mend テキスト・フィールドに返された製品名を使用します。 |
mend-product-token |
オンボーディング要求によって返された製品トークンを Product Token テキスト・フィールドで |
opt-in-mend |
Mend Unified Agent スキャンをコンプライアンス・チェック・パイプライン・ステージの一部として含めるには、このパラメーターを任意の空でないストリング値に設定します。 |
オプションの Mend Unified Agent パラメーター
パラメーター名 | デフォルト値 | 説明 |
---|---|---|
mend-config-file-name |
mendUnifiedAgent.config |
スキャンされた各ソース・コード・リポジトリーのルートでスキャンが検索する Mend Unified Agent 構成ファイルのファイル名。 |
mend-print-scan-results |
false (プロパティーが設定されていない) |
各 Mend スキャン結果 JSON ファイルをステージ・ログに出力するには、ゼロ以外の長さのストリングを入力します。 |
mend-print-scan-summaries |
false (プロパティーが設定されていない) |
ゼロ以外の長さのストリングを入力して、各 Mend スキャン要約レポートをステージ・ログに出力します。 |
mend-jar-url |
https://unified-agent.s3.amazonaws.com/wss-unified-agent.jar |
パイプライン実行ごとにダウンロードされるスキャナー JAR ファイル。 |
証拠と添付ファイル
作成されたエビデンスは、表 3 の値に基づいています。 DevSecOps パイプラインは、証拠をロッカーにアップロードし、その証拠を変更要求の証拠要約に含めます。
フィールド | 値 |
---|---|
ツール・タイプ | mend |
証拠タイプ | com.ibm.code_vulnerability_scan |
資産タイプ | repo |
添付ファイル | <scan report containing detected libraries and list of vulnerabilities in JSON> |
添付ファイル | <scan summary report in text format> |
デバッグとロギング
パラメーター名 | デフォルト値 | 説明 |
---|---|---|
pipeline-debug | 0 | デバッグ・フラグ 0 オフ 1 オン |
スキャン結果へのアクセス
以下のいずれかの方法を使用して、スキャン結果にアクセスできます。
- Mend UI での表示。
mend-print-scan-results
パイプライン環境プロパティーを設定して、スキャン・レポート JSON をステージ・ログに出力するようにパイプラインに指示します。mend-print-scan-summaries
パイプライン環境プロパティーを設定して、スキャン・サマリー・テキストをステージ・ログに出力するようにパイプラインに指示します。- DevSecOps/Coa CLI コマンド・ライン・ツールを使用して、ステージ・ログに出力された情報を使用してエビデンス・ロッカーからスキャン結果をダウンロードします。 詳しくは、以下のリソースを参照してください。