Запуск сканера в режиме SBOM
27 марта 2024
ID 264539
Kaspersky Security для контейнеров поддерживает возможность запуска сканера для проверки образов на наличие уязвимостей в режиме SBOM. В данном случае решение осуществляет сканирование специально созданного SBOM-файла, а не TAR-архива.
Преимущества использования SBOM включают в себя:
- Меньший объем ресурсов, необходимых для сканирования образов на уязвимости.
- Экономия времени на сканирование за счет автоматической проверки корректности использования и функционирования компонентов решения.
- Возможность сканирования всех имеющихся в образе уязвимостей без исключения.
- Большая надежность получаемых результатов сканирования.
В рамках работы в CI/CD процесс сканирования состоит из двух этапов: получение SBOM-файла и последующее сканирование образа с использованием полученной спецификации программного обеспечения. Процесс сканирования образов реализуется следующим образом:
- Сканнер в CI/CD формирует перечень компонентов образа и направляет сгенерированный артефакт в Kaspersky Security для контейнеров.
- При помощи приложения для обработки заданий на сканирование решение передает принятый SBOM-файл в сканер для сканирования.
Для последующего сканирования Kaspersky Security для контейнеров генерирует SBOM-файл в формате CycloneDX. Также вы можете сформировать артефакт для скачивания в рамках процесса CI/CD в формате SPDX.
Чтобы сгенерировать SBOM-файл в формате .SPDX при работе сканера через создание SBOM,
в конфигурационном файле .gitlab-ci.yml укажите следующую команду:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom-json --spdx --stdout > example.spdx
где:
<--sbom-json> – индикатор создания SBOM-файла;
<--spdx> – указание на сборку артефакта в формате .SPDX;
<--stdout > example.spdx> – индикатор вывода данных в файл в формате .SPDX.
Чтобы сгенерировать SBOM-файл в формате .JSON при работе сканера через создание SBOM,
в конфигурационном файле .gitlab-ci.yml укажите следующую команду:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom-json --stdout > example.json
где:
<--sbom-json> – индикатор создания SBOM-файла;
<--stdout > example.json> – индикатор вывода данных в файл в формате .JSON.
Полученный при этом файл (например, example.json) указывается как артефакт: artifacts: paths:
Сканирование при помощи создания SBOM-файла относится только к проверке образа на наличие уязвимостей. Если в процессе CI/CD требуется провести сканирование на другие риски и угрозы (например, на наличие ошибок конфигурации), требуется отдельно запускать соответствующее сканирование и добавлять полученные результаты в приложение для обработки заданий на сканирование в дополнение к SBOM-файлу.
