要在 Docker 中以精简版 SBOM 模式启动扫描器：

1. 指定卡巴斯基容器安全的强制参数：

   -e API_TOKEN=<API 令牌值>

   -e API_BASE_URL=https://company.com

   -e API_CA_CERT: <.PEM 格式的证书> 或 -e SKIP_API_SERVER_VALIDATION=true

2. 如有必要，请为卡巴斯基容器安全指定附加参数。
3. 指定要运行的扫描器镜像：

   repo.kcs.company.com/images/scanner:v2.0.0-lite

4. 如果需要生成可供下载的构件，请指定以下内容：

   --<工件格式> --stdout> result.<文件格式>

   例如：

   --html --stdout > result.html

5. 确保 .docker/config.json 配置文件包含用于使用扫描器镜像连接到镜像仓库的数据。如有必要，运行以下命令之一：docker login repo.company.com或docker login repo.kcs.kaspersky.com。
6. 开始扫描。

   如果在调用扫描仪时出现域名解析错误（Name does not resolve（名称无法解析）），则必须在组织的内部 DNS 服务器之前指定 API_BASE_URL 变量之前的地址。例如：

   --dns 10.0.xx.x

如果扫描器镜像和要扫描的镜像存储在您的注册表中，并且您需要以 .JSON 格式生成包含扫描器操作结果的工件，则扫描器起始变量指定如下：

docker run --dns 10.0.10.10 \

-e "API_BASE_URL=https://kcs.company.com" \

-e "SKIP_API_SERVER_VALIDATION=true" \

-e "API_TOKEN=${api_token}" \

-e "COMPANY_EXT_REGISTRY_USERNAME=${user}" \

-e "COMPANY_EXT_REGISTRY_PASSWORD=${password}"

repo.company.com/images/scanner:v2.0.0-lite \

repo.company.com/images/alpine:latest --stdout > result.json

如果扫描器镜像存储在卡巴斯基公共注册表中（节点使用您的代理服务器镜像拉取此镜像），则扫描的镜像将作为压缩文件本地存储在节点上，您需要使用 .SPDX 格式的扫描器操作结果生成工件，扫描器起始变量指定如下：

docker run --dns 10.0.10.10 \

-e "API_BASE_URL=https://kcs.company.com" \

-e "SKIP_API_SERVER_VALIDATION=true" \

-e "API_TOKEN=${api_token}" \

-e "HTTPS_PROXY=http://user:password@client.proxy.com:8080" \

-v ./image_to_scan.tar:/image.tar \

repo.kcs.kaspersky.com/images/scanner:v2.0.0-lite \

image.tar --file --spdx --stdout > result.spdx

如果扫描器镜像存储在远程镜像仓库中，则用于分析的镜像已以 OCI 工件格式保存在本地主机上，并且您需要以 .SPDX 格式生成包含扫描器输出的工件，用于启动扫描器的数据配置如下：

docker run --dns 10.0.10.10 \

-e "API_BASE_URL=https://kcs.company.com" \

-e "SKIP_API_SERVER_VALIDATION=true" \

-e "API_TOKEN=${api_token}" \

-e "COMPANY_EXT_REGISTRY_USERNAME=${user}" \

-e "COMPANY_EXT_REGISTRY_PASSWORD=${password}" \

-v ./image_oci_nginx:/image_oci_nginx \

repo.company.com/images/scanner:v2.0.0-lite \

./image_oci_nginx --oci --spdx --stdout > result.spdx

在启动扫描器之前，请确保镜像在节点上以 OCI 工件格式可用。例如，您可以启动skopeo工具并运行以下命令：
skopeo copy --override-arch amd64 --override-os linux -f oci docker://nginx:latest oci:image_oci_nginx:latest

要在 Kubernetes 集群中以精简 SBOM 模式将扫描器作为作业运行：

1. 确保运行命令的节点包含 kubectl和相应 Kubernetes 集群的配置文件，并且运行命令的用户可以访问它们。
2. 确保相应的名字空间中存在一个 Secret，以便从您感兴趣的注册表中进行身份验证并下载扫描器镜像。

   您可以自己创建这样的 Secret，例如使用以下命令：

   kubectl create secret docker-registry <secret name> --docker-server=<存储库的 FQDN> --docker-username=username --docker-password=password

3. 指定扫描器作为 Kubernetes 集群中的任务运行所需的必需参数值以及（如有必要）附加参数的值。

   运行扫描器的参数在.YAML 格式的文件中指定如下：

   apiVersion: batch/v1

   kind: Job

   metadata:

   name: my-lite-job

   spec:

   template:

   spec:

   containers:

   - name: my-lite-container

   image: repo.company.com/images/scanner:v2.0.0-lite

   command: ["/bin/sh"]

   args: ["entrypoint.sh", "alpine:latest"]

   env:

   - name: COMPANY_EXT_REGISTRY_USERNAME

   value: <在包含待扫描镜像的镜像仓库中用于身份验证的用户>

   - name: COMPANY_EXT_REGISTRY_PASSWORD

   value: <在包含待扫描镜像的镜像仓库中用于身份验证的密码>

   - name: API_BASE_URL

   value: https://kcs.company.local

   - name: API_TOKEN

   value: <卡巴斯基容器安全 API 中的身份验证令牌>

   - name: SKIP_API_SERVER_VALIDATION

   value: 'true'

   imagePullPolicy: Always

   restartPolicy: Never

   imagePullSecrets:

   - name: 用于身份验证和拉取扫描器镜像的 Secret 名称>

   backoffLimit: 0

4. 在 Kubernetes 集群中开始扫描：

   kubectl apply -f my-lite-job.yaml