Verificação de artefatos em processos de CI/CD

O Kaspersky Container Security permite verificar imagens usadas em CI/CD. Para verificar imagens de CI/CD, configure a integração do Kaspersky Container Security com processos de CI/CD.

Dados da escuta e interceptação de tráfego de rede devem ser transferidos de forma segura entre o ambiente de CI/CD e a solução.

Para verificar imagens ou repositórios usados no processo de CI/CD (com o intuito de verificar arquivos de configuração), adicione uma etapa ao pipeline de CI/CD que execute o verificador do Kaspersky Container Security.

Para verificar imagens de CI/CD, no arquivo de configuração usado para integrar o repositório, especifique as variáveis de ambiente API_BASE_URL (endereço da web do servidor da API do Kaspersky Container Security) e API_TOKEN (token para acessar a API do Kaspersky Container Security) para o verificador. Também é necessário especificar API_CA_CERT (certificado para validar o servidor host da solução de API) ou SKIP_API_SERVER_VALIDATION = true para ignorar essa verificação.

Os resultados da verificação são encaminhados ao servidor e mostrados no Console de Gerenciamento na seção Resources → CI/CD. A tabela fornecida lista as imagens verificadas, mostra os resultados da avaliação de risco e indica as vulnerabilidades detectadas.

Para abrir uma página com informações detalhadas sobre resultados de verificação de imagens, clique no link no nome da imagem. Essa página é semelhante à página mostrando os resultados da verificação de imagens do registro.

O Kaspersky Container Security também exibe o tipo de artefato de cada objeto. São usados dois artefatos principais:

Sistema de arquivos é o repositório que contém arquivos de configuração.
Imagem de contêiner é o modelo usado para a implementação do contêiner no tempo de execução.

Para cada objeto de verificação, é possível especificar o número (BUILD_NUMBER) e o pipeline da compilação (BUILD_PIPELINE). Esses parâmetros podem ser usados para determinar a etapa específica em que o objeto falhou.

Para imagens de CI/CD, não é oferecida uma nova verificação.

O Kaspersky Container Security executa os seguintes tipos de verificação em CI/CD:

Verificação de imagens do registro de imagens. A solução executa uma verificação após uma compilação bem-sucedida e salva a imagem no registro de imagens.
Verificação de imagens em arquivos comprimidos TAR. Um arquivo TAR é armazenado como um artefato de compilação que a solução verifica no próprio pipeline da compilação.
Verificação de um repositório Git, que pode ser executada de uma das seguintes maneiras:
- para uma ramificação do projeto (caminho de desenvolvimento independente) no repositório Git
- para um commit (instantâneo do estado ou ponto de verificação na linha do tempo do projeto)

Para verificar uma imagem de um registro de imagens:

Inicialize a verificação executando um comando no seguinte formato:

/scanner [TARGET] --stdout

em que:

<TARGET>: é o endereço completo da imagem no registro;
<--stdout> é o resultado do log de eventos de segurança.

Para acessar o registro, defina o login COMPANY_EXT_REGISTRY_USERNAME e a senha (token) COMPANY_EXT_REGISTRY_PASSWORD nas variáveis de ambiente.
Para usar um certificado para conexão segura com o registro, especifique os detalhes do certificado na variável de ambiente COMPANY_EXT_REGISTRY_TLS_CERT como a seguinte string em formato .PEM: -----BEGIN CERTIFICATE-----\n... certificate data > ...\n-----END CERTIFICATE----- .

Exemplos de verificação de imagens no CI/CD do GitLab e CI/CD do Jenkins.

Para verificar uma imagem de um arquivo comprimido TAR:

Crie uma imagem e salve-a como arquivo TAR usando qualquer aplicativo para a criação de imagens conteinerizadas.
Inicialize a verificação executando um comando no seguinte formato:
/scanner [TARGET] --file --stdout

em que:
- <TARGET>: é o caminho do arquivo com a imagem a ser verificada
- <--file>: é o marcador indicando a verificação do arquivo TARGET
- <--stdout> é o resultado do log de eventos de segurança.
Exemplo de um arquivo de configuração com propriedades para a verificação de um arquivo comprimido TAR

etapas:

- build_tar

- scan_tar

- push_image

build_tar:

stage: build_tar

tags:

k8s

- docker

image:

name: gcr.io/kaniko-project/executor:v1.9.0-debug

entrypoint: [""]

dependencies:

- scan_source_branch

- scan_source_commit

script:

- mkdir -p /kaniko/.docker

- echo "${DOCKER_AUTH_CONFIG}" > /kaniko/.docker/config.json

- /kaniko/executor

--context "${CI_PROJECT_DIR}"

--dockerfile "${CI_PROJECT_DIR}/Dockerfile"

--destination "${CI_REGISTRY_IMAGE}:${CI_COMMIT_REF_NAME}"

--compressed-caching=false

--build-arg GITLAB_USER=gitlab-ci-token

--build-arg GITLAB_TOKEN=${CI_JOB_TOKEN}

--no-push

--tarPath=image.tar

artifacts:

paths:

- image.tar

expire_in: 2 hours

scan_tar:

stage: scan_tar

tags:

k8s

- docker

dependencies:

- build_tar

image:

name: "company.gitlab.cloud.net:5050/companydev/example/scanner:master-with-db"

pull_policy: always

entrypoint: [""]

variables:

API_BASE_URL: ${API_BASE_URL}

API_TOKEN: ${API_TOKEN}

API_CA_CERT: ${KCS_CA_CERT}

script:

- /scanner image.tar --file --stdout

artifacts:

paths:

- image.tar

expire_in: 2 hours

push_image:

stage: push_image

tags:

k8s

image:

name: gcr.io/go-containerregistry/crane:debug

entrypoint: [""]

dependencies:

- scan_tar

script:

- mkdir -p $HOME/.docker

- echo "${DOCKER_AUTH_CONFIG}" > $HOME/.docker/config.json

- /ko-app/crane push image.tar "${CI_REGISTRY_IMAGE}:${CI_COMMIT_REF_NAME}"

Para verificar o repositório Git:

No arquivo de configuração do repositório Git, nas variáveis de ambiente, especifique o token para acessar o repositório (GITHUB_TOKEN ou GITLAB_TOKEN).
Inicialize a verificação executando um comando no seguinte formato:
/scanner [TARGET] --repo [--branch BRANCH] [--commit COMMIT] --stdout

em que:
- <TARGET>: endereço da Web (URL) do repositório Git
- <--repo> : é o marcador indicando a verificação do arquivo TARGET
- <--branch BRANCH>: é a ramificação do repositório a ser verificado
- <--commit COMMIT>: é o hash do commit a ser verificado
- <--stdout> é o resultado do log de eventos de segurança.
Exemplo de um arquivo de configuração com variáveis de ambiente para a verificação de uma imagem de um repositório Git

etapas:

- scan_source_branch

- scan_source_commit

scan_source_branch:

stage: scan_source_branch

image:

name: "company.gitlab.cloud.net:5050/companydev/example/scanner:master-with-db"

pull_policy: always

entrypoint: [""]

tags:

k8s

- docker

variables:

API_BASE_URL: ${API_BASE_URL}

API_TOKEN: ${API_TOKEN}

API_CA_CERT: ${KCS_CA_CERT}

script:

- GITLAB_TOKEN=${CI_JOB_TOKEN} /scanner --repo ${CI_REPOSITORY_URL} --branch ${CI_COMMIT_BRANCH} --stdout

scan_source_commit:

stage: scan_source_commit

image:

name: "company.gitlab.cloud.net:5050/companydev/example/scanner:master-with-db"

pull_policy: always

entrypoint: [""]

tags:

k8s

- docker

variables:

API_BASE_URL: ${API_BASE_URL}

API_TOKEN: ${API_TOKEN}

API_CA_CERT: ${KCS_CA_CERT}

script:

- GITLAB_TOKEN=${CI_JOB_TOKEN} /scanner --repo ${CI_REPOSITORY_URL} --commit ${CI_COMMIT_SHA} --stdout

Para verificar o sistema de arquivos IaC, é necessário usar a imagem do verificador com o banco de dados vX.XX-with-db. Para verificar arquivos IaC, o verificador deve ter acesso aos arquivos dentro do contêiner (por exemplo, durante a montagem de um volume com arquivos ou durante a cópia arquivos para o sistema de arquivos do contêiner).

Para verificar o sistema de arquivos,

Inicialize a verificação executando um comando no seguinte formato:

/scanner [TARGET] --sources --stdout

em que:

<TARGET>– caminho para a pasta do arquivo para verificação
<--sources> – sinalizador que indica a necessidade de verificar arquivos no sistema de arquivos
<--stdout> é o resultado do log de eventos de segurança.

Exemplo de um arquivo de configuração com variáveis usadas para verificar arquivos no sistema de arquivos

Os resultados de verificações podem ser visualizados em Resources → CI/CD ou baixados nos formatos .SPDX, .JSON e .HTML.

Topo da página