Kaspersky Container Security le permite iniciar Scanner para verificar las imágenes en busca de vulnerabilidades en el modo SBOM. En este caso, la solución analiza el archivo SBOM creado en lugar del archivo comprimido TAR.
Usar una SBOM plantea las siguientes ventajas:
En CI/CD, el proceso de análisis comprende dos etapas: la recepción de un archivo SBOM y el análisis de una imagen sobre la base del archivo SBOM recibido. El análisis de las imágenes se realiza de la siguiente manera:
Para analizar en el modo SBOM, Kaspersky Container Security inicia un análisis con bases de datos preinstaladas que contienen información sobre vulnerabilidades y otros objetos maliciosos (scanner:v2.0-with-db, scanner:v2.0-with-db-java).
Para analizar imágenes en CI/CD, debe especificar los valores de las siguientes variables de entorno en el archivo:
API_TOKEN: valor del token de la API de Kaspersky Container SecurityAPI_BASE_URL: URL de Kaspersky Container SecurityAPI_CA_CERT: datos del certificado de CA del controlador de entrada que permite al componente Scanner ejecutado en CI/CD verificar la autenticidad del servidor de recepción de datos. Si utiliza un certificado autofirmado o desea omitir la verificación del servidor de recepción de datos con el certificado de CA del controlador de entrada, debe proporcionar el valor de la variable para omitir la verificación:SKIP_API_SERVER_VALIDATION: 'true'
COMPANY_EXT_REGISTRY_USERNAME: determine el nombre de la cuenta del registro de la imagen analizada.COMPANY_EXT_REGISTRY_PASSWORD: determine la contraseña del registro de la imagen analizada.COMPANY_EXT_REGISTRY_TLS_CERT: determine los datos del certificado para establecer una conexión segura con el registro.Los datos del certificado se declaran como una cadena en el formato .PEM:
-----BEGIN CERTIFICATE-----\n... <datos del certificado> ...\n-----END CERTIFICATE-----.
HTTP_PROXY: servidor proxy para solicitudes HTTPHTTPS_PROXY: servidor proxy para solicitudes HTTPSNO_PROXY: dominios o máscaras de dominio adecuadas que se excluirán del redireccionamientoPara los siguientes análisis, Kaspersky Container Security generará un informe en el formato CycloneDX. También puede generar un artefacto con la SBOM para descargarlo desde el proceso de CI/CD en los formatos CycloneDX o SPDX.
Para generar un archivo SBOM con formato .SPDX cuando Scanner opera en la creación de la SBOM:
Introduzca el siguiente comando en el archivo de configuración .gitlab-ci.yml:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom --spdx --stdout > example.spdx
donde:
<--sbom> indica la creación de un archivo SBOM.
<--spdx> indica que el artefacto se genera con el formato .SPDX.
<--stdout > example.spdx> indica la salida de los datos a un archivo con el formato .SPDX.
Para generar un archivo SBOM con formato .CDX cuando Scanner opera en la creación de la SBOM:
Introduzca el siguiente comando en el archivo de configuración .gitlab-ci.yml:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom --cdx --stdout > example.cdx.json
donde:
<--sbom> indica la creación de un archivo SBOM.
<--cdx> indica que el artefacto se genera con el formato .CDX.
<--stdout > example.cdx.json> indica la salida de los datos a un archivo con el formato .JSON.
El archivo resultante (por ejemplo, example.cdx.json) se especifica como un artefacto artifacts: paths:
El análisis con un archivo SBOM solo es posible al analizar imágenes en busca de vulnerabilidades. Si el proceso de CI/CD exige analizar en busca de otros riesgos y amenazas (como configuraciones incorrectas), debe ejecutar el análisis correspondiente de forma independiente y añadir los resultados al controlador de la imagen junto al archivo SBOM.
Inicio de página