O Kaspersky Container Security permite iniciar um verificador para analisar imagens em busca de vulnerabilidade em modo SBOM. Nesse caso, a solução verifica um arquivo SBOM especialmente criado, em vez de um arquivo comprimido TAR.
As vantagens de usar uma SBOM são:
Em CI/CD, o processo de verificação consiste em duas etapas: recebimento de um arquivo SBOM e verificação de uma imagem com base no arquivo SBOM recebido. O processo de verificação da imagem é implementado da seguinte maneira:
Para a verificação em modo SBOM, o Kaspersky Container Security executa um verificador com bancos de dados pré-instalados contendo informações sobre vulnerabilidades e outros objetos maliciosos (scanner:v2.1-with-db, scanner:v2.1-with-db-java).
Para verificar imagens em CI/CD, especifique os valores das seguintes variáveis de ambiente no arquivo:
API_TOKEN: o valor do token de API do Kaspersky Container Security é especificado.API_BASE_URL: a URL do Kaspersky Container Security é especificada.API_CA_CERT: detalhes do certificado CA do controlador Ingress são especificados, permitindo que o verificador sendo executado no CI/CD confirme a autenticidade do servidor de recebimento de dados. Caso use um certificado autoassinado ou deseje pular a verificação do servidor de recebimento de dados usando o certificado CA do controlador Ingress, o valor da variável para ignorar a verificação deve ser especificado da seguinte maneira: SKIP_API_SERVER_VALIDATION: 'true'
COMPANY_EXT_REGISTRY_USERNAME: especifique o nome da conta no registro da imagem verificada.COMPANY_EXT_REGISTRY_PASSWORD: especifique a senha do registro da imagem verificada.COMPANY_EXT_REGISTRY_TLS_CERT – Especifique os detalhes do certificado para conexão segura ao registro. Os detalhes do certificado são especificados como uma string no formato .PEM:
-----BEGIN CERTIFICATE-----\n... <detalhes do certificado> ...\n-----END CERTIFICATE-----.
HTTP_PROXY – servidor proxy para solicitações HTTPHTTPS_PROXY – servidor proxy para solicitações HTTPSNO_PROXY – domínios ou máscaras de domínio apropriadas a serem excluídos do proxyPara verificações subsequentes, o Kaspersky Container Security gera um relatório no formato CycloneDX. Também é possível gerar um artefato com SBOM para download durante o processo de CI/CD em formato CycloneDX ou SPDX.
Para gerar um arquivo SBOM em formato .SPDX quando o verificador opera com a criação de SBOM:
Insira os seguintes comandos no arquivo de configuração gitlab-ci.yml:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom --spdx --stdout > example.spdx
em que:
<--sbom> indica a criação de um arquivo SBOM.
<--spdx> indica que um artefato é gerado em formato .SPDX.
<--stdout > example.spdx> indica a saída de dados para um arquivo em formato .SPDX.
Para gerar um arquivo SBOM em formato .СDX quando o verificador opera com a criação de SBOM:
Insira os seguintes comandos no arquivo de configuração gitlab-ci.yml:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom --cdx --stdout > example.cdx.json
em que:
<--sbom> indica a criação de um arquivo SBOM.
<--cdx> indica que um artefato é gerado em formato .CDX.
<--stdout > example.cdx.json> indica a saída de dados para um arquivo em formato .JSON.
O arquivo resultante (por exemplo, example.cdx.json) é especificado como um artefato: artifacts: paths:
A verificação com arquivo SBOM só é aplicável ao verificar uma imagem em busca de vulnerabilidades. Se o processo de CI/CD exigir a verificação de outros riscos e ameaças (como erros de configuração), essa verificação deve ser executada separadamente e os resultados adicionados ao image handler junto com o arquivo SBOM.
Topo da página