配置 Mend Unified Agent 掃描
Mend Script 會在 DevSecOps 管線中執行 Mend Unified Agent 相依關係掃描,並根據掃描結果收集證明。
針對 list_repos 方法所傳回管線中的每一個來源儲存庫,執行「修補統一代理程式」相依關係掃描。 如需相關資訊,請參閱 list_repos。
該 Script 會在所掃描的每一個來源儲存庫的根目錄中搜尋現有的配置檔。 如需相關資訊,請參閱 Unified Agent 配置參數。 如果找不到配置檔,則會在執行時為每一個管線執行建立預設配置檔,但不會持續保存在原始碼儲存庫中。
如果找到配置檔,當執行掃描時, Script 會傳遞該配置檔。 在執行時期,管線會以 mend-org-token 和 mend-user-key 管線環境內容的值來置換配置檔中的 apiKey 和 userKey 內容。
在執行 Script 之前,請先安裝來源儲存庫建置所需的所有建置相依關係,以確保 Mend Unified Agent 相依關係掃描傳回精確結果。
執行 Script
您必須使用 save_repo ,在 pipelinectl中至少登錄一個來源儲存庫。
必要的「修補統一代理程式」參數
| 參數名稱 | 說明 |
|---|---|
mend-server-url |
Mend 伺服器的基本 URL。 |
mend-org-token |
組織的 ID。 在 Org Token 文字欄位中使用上線要求所傳回的組織記號。 |
mend-user-key |
在 ServiceNow 上線之後建立的 Secret Product ServiceUser。 |
mend-product-name |
在 Product Name on Mend 文字欄位中使用上線要求所傳回的產品名稱。 |
mend-product-token |
在 Product Token 文字欄位中使用上線要求所傳回的產品記號 |
opt-in-mend |
將此參數設為任何非空字串值,以包括 Mend Unified Agent 掃描作為 Compliance Checks 管線階段的一部分。 |
選用性 Mend Unified Agent 參數
| 參數名稱 | 預設值 | 說明 |
|---|---|---|
mend-config-file-name |
mendUnifiedAgent.config |
掃描在每一個已掃描原始碼儲存庫的根目錄中尋找之 Mend Unified Agent 配置檔的檔名。 |
mend-print-scan-results |
false (未設定內容) |
輸入任何非零長度字串,以將每一個 Mend 掃描結果 JSON 檔案列印至暫置日誌。 |
mend-print-scan-summaries |
false (未設定內容) |
輸入任何非零長度字串,以將每一個「Mend 掃描摘要」報告列印至暫置日誌。 |
mend-jar-url |
https://unified-agent.s3.amazonaws.com/wss-unified-agent.jar |
針對每一個管線執行所下載的掃描器 JAR 檔。 |
證明及附件
建立的證明基於表 3 中的值。 DevSecOps 管線會將證明上傳至櫃,並將證明包含在「變更要求」的證明摘要中。
| 欄位 | 價值 |
|---|---|
| 工具類型 | mend |
| 證明類型 | com.ibm.code_vulnerability_scan |
| 資產類型 | repo |
| attachments | <scan report containing detected libraries and list of vulnerabilities in JSON> |
| attachments | <scan summary report in text format> |
除錯和記載
| 參數名稱 | 預設值 | 說明 |
|---|---|---|
| pipeline-debug | 0 | Debug flag 0 off 1 on |
存取掃描結果
您可以使用下列任何方法來存取掃描結果:
- 在「Mend 使用者介面」上檢視它們。
- 設定
mend-print-scan-results管線環境內容,以指示管線將掃描報告 JSON 列印至階段日誌。 - 設定
mend-print-scan-summaries管線環境內容,以指示管線將掃描摘要文字列印至暫置日誌。 - 使用 DevSecOps/CoCoa CLI 指令行工具,利用階段日誌中所列印的資訊,從證明櫃下載掃描結果。 如需相關資訊,請參閱下列資源: