Kaspersky Security для контейнеров поддерживает возможность запуска сканера для проверки образов на наличие уязвимостей в режиме SBOM. В данном случае решение осуществляет сканирование специально созданного SBOM-файла, а не TAR-архива.
Преимущества использования SBOM включают в себя:
В рамках работы в CI/CD процесс сканирования состоит из двух этапов: получение SBOM-файла и последующее сканирование образа с использованием полученной спецификации программного обеспечения. Процесс сканирования образов реализуется следующим образом:
Для последующего сканирования Kaspersky Security для контейнеров генерирует SBOM-файл в формате CycloneDX. Также вы можете сформировать артефакт для скачивания в рамках процесса CI/CD в формате SPDX.
Чтобы сгенерировать SBOM-файл в формате .SPDX при работе сканера через создание SBOM,
в конфигурационном файле .gitlab-ci.yml укажите следующую команду:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom-json --spdx --stdout > example.spdx
где:
<--sbom-json> – индикатор создания SBOM-файла;
<--spdx> – указание на сборку артефакта в формате .SPDX;
<--stdout > example.spdx> – индикатор вывода данных в файл в формате .SPDX.
Чтобы сгенерировать SBOM-файл в формате .JSON при работе сканера через создание SBOM,
в конфигурационном файле .gitlab-ci.yml укажите следующую команду:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom-json --stdout > example.json
где:
<--sbom-json> – индикатор создания SBOM-файла;
<--stdout > example.json> – индикатор вывода данных в файл в формате .JSON.
Полученный при этом файл (например, example.json) указывается как артефакт: artifacts: paths:
Сканирование при помощи создания SBOM-файла относится только к проверке образа на наличие уязвимостей. Если в процессе CI/CD требуется провести сканирование на другие риски и угрозы (например, на наличие ошибок конфигурации), требуется отдельно запускать соответствующее сканирование и добавлять полученные результаты в приложение для обработки заданий на сканирование в дополнение к SBOM-файлу.
В начало