Azure DevOps CI Pipeline With Checkmarx

2022-09-13

說明如何在 Azure DevOps Server 持續整合加入 Cehckmarx 源碼檢測,讓專案開發更為安全與更為自動 😀

logo

說明

從 marketplace.visualstudio 下載 Plugin Checkmarx CxSAST

從 Azure DevOps Server Portal 選擇「集合設定」

依序選擇「延伸模組」並「瀏覽本機的延伸模組」

選擇「管理擴充功能」

上傳延伸模組,將原本下載好的 Plugin 進行上傳 (.vsix)


完成上傳後,可以從「管理擴充功能」確認

重新回到「瀏覽本機的延伸模組」,並選擇 Checkmarx CxSAST

點選「免費取得」後進續進行設定

對每一個需要使用的 Collection 進行設定

專案設定

進入需要使用 CheckMarx 掃描的專案。

服務連線

依序選擇「專案設定」並新增服務連線,類型選 Checkmarx SAST

輸入 Checkmarx 的連線相關資訊並命名一個連線名稱接著會在 CI 管線設定上使用。

Team 的格式為 CxServer\SP\Company\TeamName

完成服務連線的成果 😀

CI 設定

在 CI 管線上,新增 Checkmarx Scan 並進行相關參數設定:

必要設定

  • ProjectName: DevOps 無法建立專案,必須使用已經建立好的專案來當作掃描的容器。
  • Checkmarx SAST Endpoint: 必須使用先前在服務連線所設定的名稱
  • Preset: 依專案的需求,選擇適合的檢測規範
  • Team: 輸入服務連線帳號所在的小組名稱

選擇性設定

  • 勾選 Generate CxSAST PDF report 已自動產生報告
  • 勾選 Enable CxSAST Vulnerability Threadsholds 可以設定高風險、中風險與低風險的上限數

檢視 CI 的資訊,可以觀察到掃出的風險數以及下載掃描報告 😀