Kaspersky Security для контейнеров
1.2
Русский
Интеграция с CI/CD > Запуск сканера в режиме SBOM

Запуск сканера в режиме SBOM

Kaspersky Security для контейнеров поддерживает возможность запуска сканера для проверки образов на наличие уязвимостей в режиме

SBOM
. В данном случае решение осуществляет сканирование специально созданного SBOM-файла, а не TAR-архива.

Преимущества использования SBOM включают в себя:

  • Меньший объем ресурсов, необходимых для сканирования образов на уязвимости.
  • Экономия времени на сканирование за счет автоматической проверки корректности использования и функционирования компонентов решения.
  • Возможность сканирования всех имеющихся в образе уязвимостей без исключения.
  • Большая надежность получаемых результатов сканирования.

В рамках работы в CI/CD процесс сканирования состоит из двух этапов: получение SBOM-файла и последующее сканирование образа с использованием полученной спецификации программного обеспечения. Процесс сканирования образов реализуется следующим образом:

  • Сканер в CI/CD формирует перечень компонентов образа и направляет сгенерированный артефакт в Kaspersky Security для контейнеров.
  • При помощи приложения для обработки заданий на сканирование решение передает принятый SBOM-файл в сканер для сканирования.

Для последующего сканирования Kaspersky Security для контейнеров генерирует SBOM-файл в формате

CycloneDX
. Также вы можете сформировать артефакт для скачивания в рамках процесса CI/CD в формате
SPDX
.

Чтобы сгенерировать SBOM-файл в формате .SPDX при работе сканера через создание SBOM,

в конфигурационном файле .gitlab-ci.yml укажите следующую команду:

- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom-json --spdx --stdout > example.spdx

где:

<--sbom-json> – индикатор создания SBOM-файла;

<--spdx> – указание на сборку артефакта в формате .SPDX;

<--stdout > example.spdx> – индикатор вывода данных в файл в формате .SPDX.

Чтобы сгенерировать SBOM-файл в формате .JSON при работе сканера через создание SBOM,

в конфигурационном файле .gitlab-ci.yml укажите следующую команду:

- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom-json --stdout > example.json

где:

<--sbom-json> – индикатор создания SBOM-файла;

<--stdout > example.json> – индикатор вывода данных в файл в формате .JSON.

Полученный при этом файл (например, example.json) указывается как артефакт: artifacts: paths:

Сканирование при помощи создания SBOM-файла относится только к проверке образа на наличие уязвимостей. Если в процессе CI/CD требуется провести сканирование на другие риски и угрозы (например, на наличие ошибок конфигурации), требуется отдельно запускать соответствующее сканирование и добавлять полученные результаты в приложение для обработки заданий на сканирование в дополнение к SBOM-файлу.

Идентификатор статьи: 264539, Последнее изменение: 4 дек. 2024 г.
В начало