IBM Cloud Docs
配置 Mend Unified Agent 掃描

配置 Mend Unified Agent 掃描

Mend Script 會在 DevSecOps 管線中執行 Mend Unified Agent 相依關係掃描,並根據掃描結果收集證明。

針對 list_repos 方法所傳回管線中的每一個來源儲存庫,執行「修補統一代理程式」相依關係掃描。 如需相關資訊,請參閱 list_repos

該 Script 會在所掃描的每一個來源儲存庫的根目錄中搜尋現有的配置檔。 如需相關資訊,請參閱 Unified Agent 配置參數。 如果找不到配置檔,則會在執行時為每一個管線執行建立預設配置檔,但不會持續保存在原始碼儲存庫中。 如果找到配置檔,當執行掃描時, Script 會傳遞該配置檔。 在執行時期,管線會以 mend-org-tokenmend-user-key 管線環境內容的值來置換配置檔中的 apiKeyuserKey 內容。

在執行 Script 之前,請先安裝來源儲存庫建置所需的所有建置相依關係,以確保 Mend Unified Agent 相依關係掃描傳回精確結果。

執行 Script

您必須使用 save_repo ,在 pipelinectl中至少登錄一個來源儲存庫。

必要的「修補統一代理程式」參數

表 1. 必要的「修補統一代理程式」參數
參數名稱 說明
mend-server-url Mend 伺服器的基本 URL。
mend-org-token 組織的 ID。 在 Org Token 文字欄位中使用上線要求所傳回的組織記號。
mend-user-key 在 ServiceNow 上線之後建立的 Secret Product ServiceUser。
mend-product-name Product Name on Mend 文字欄位中使用上線要求所傳回的產品名稱。
mend-product-token Product Token 文字欄位中使用上線要求所傳回的產品記號
opt-in-mend 將此參數設為任何非空字串值,以包括 Mend Unified Agent 掃描作為 Compliance Checks 管線階段的一部分。

選用性 Mend Unified Agent 參數

表 2. 選用的 Mend Unified Agent 參數
參數名稱 預設值 說明
mend-config-file-name mendUnifiedAgent.config 掃描在每一個已掃描原始碼儲存庫的根目錄中尋找之 Mend Unified Agent 配置檔的檔名。
mend-print-scan-results false (未設定內容) 輸入任何非零長度字串,以將每一個 Mend 掃描結果 JSON 檔案列印至暫置日誌。
mend-print-scan-summaries false (未設定內容) 輸入任何非零長度字串,以將每一個「Mend 掃描摘要」報告列印至暫置日誌。
mend-jar-url https://unified-agent.s3.amazonaws.com/wss-unified-agent.jar 針對每一個管線執行所下載的掃描器 JAR 檔。

證明及附件

建立的證明基於表 3 中的值。 DevSecOps 管線會將證明上傳至櫃,並將證明包含在「變更要求」的證明摘要中。

表 3. 證明欄位和值
欄位 價值
工具類型 mend
證明類型 com.ibm.code_vulnerability_scan
資產類型 repo
attachments <scan report containing detected libraries and list of vulnerabilities in JSON>
attachments <scan summary report in text format>

除錯和記載

表 4. 除錯參數
參數名稱 預設值 說明
pipeline-debug 0 Debug flag 0 off 1 on

存取掃描結果

您可以使用下列任何方法來存取掃描結果:

  • 在「Mend 使用者介面」上檢視它們。
  • 設定 mend-print-scan-results 管線環境內容,以指示管線將掃描報告 JSON 列印至階段日誌。
  • 設定 mend-print-scan-summaries 管線環境內容,以指示管線將掃描摘要文字列印至暫置日誌。
  • 使用 DevSecOps/CoCoa CLI 指令行工具,利用階段日誌中所列印的資訊,從證明櫃下載掃描結果。 如需相關資訊,請參閱下列資源: