Execução de um verificador no GitLab

Para inicializar o verificador em modo SBOM lite no GitLab, ao configurar a verificação de imagens no processo de CI/CD, edite o arquivo de configuração .gitlab-ci.yml da seguinte maneira:

  1. Adicione informações sobre a imagem do verificador iniciado para a verificação de imagens em CI/CD da seguinte maneira:

    scan_image:

    stage: scanner

    image:

    name:repo.cloud.example.com/repository/company/scanner:v.2.1.0-lite

    entrypoint: [""]

    pull_policy: always

  2. Especifique a tag da plataforma de orquestração da seguinte maneira:

    k8s

    No exemplo dado, a tag k8s é especificada para Kubernetes; também é possível especificar a tag para outra plataforma de orquestração compatível.

  3. Especifique variáveis, como o ID da compilação, dados do registro de imagem da imagem verificada e certificado para conexão segura ao registro, ID do pipeline e token de API para autorização de solicitações do verificador de CI/CD no Kaspersky Container Security, da seguinte maneira:

    SCAN_TARGET: ${CI_REGISTRY_IMAGE}:master

    COMPANY_EXT_REGISTRY_USERNAME: ${COMPANY_EXT_REGISTRY_USERNAME}

    COMPANY_EXT_REGISTRY_PASSWORD: ${COMPANY_EXT_REGISTRY_PASSWORD}

    COMPANY_EXT_REGISTRY_TLS_CERT: ${COMPANY_EXT_REGISTRY_TLS_CERT}

    BUILD_NUMBER: ${CI_JOB_ID}

    BUILD_PIPELINE: ${CI_PIPELINE_ID}

    API_TOKEN: <valor do token de API>

    HTTP_PROXY: <servidor proxy para solicitações HTTP>

    HTTPS_PROXY: <servidor proxy para solicitações HTTPS>

    NO_PROXY: <domínios ou máscaras de domínio correspondentes a serem excluídos do proxy>

    Os detalhes do certificado para conexão segura ao registro de imagens na variável COMPANY_EXT_REGISTRY_TLS_CERT são especificados como uma string em formato .PEM:
    -----BEGIN CERTIFICATE-----\n... detalhes do certificado > ...\n-----END CERTIFICATE----- .

  4. Se necessário, especifique uma variável para verificar o certificado de API da solução:

    API_CA_CERT: ${KCS_CA_CERT}

    Se a variável API_CA_CERT não for definida, a verificação começará, mas não será concluída.

  5. Especifique o endereço da Web do servidor host da API para o Kaspersky Container Security:

    API_BASE_URL: <endereço da Web>

  6. Especifique o comando para criação de um artefato quando o verificador é iniciado num dos seguintes formatos compatíveis:
    • Para gerar um artefato em formato .JSON:

      script:

      - /bin/sh /entrypoint.sh $SCAN_TARGET --stdout > artifact-result.json

      artifacts:

      paths:

      - artifact-result.json

    • Para gerar um artefato em formato .HTML:

      script:

      - /bin/sh /entrypoint.sh $SCAN_TARGET --html --stdout > artifact-result.html

      artifacts:

      paths:

      - artifact-result.html

    • Para gerar um artefato SBOM em formato .SPDX:

      script:

      - /bin/sh /entrypoint.sh $SCAN_TARGET --spdx --stdout > artifact-result.spdx

      artifacts:

      paths:

      - artifact-result.spdx

    • Para gerar um artefato SBOM em formato .JSON:

      script:

      - /bin/sh /entrypoint.sh $SCAN_TARGET --cdx --stdout > artifact-result.cdx.json

      artifacts:

      paths:

      - artifact-result.cdx.json

Exemplo do verificador configurado para operar em modo SBOM lite e geração de artefatos em formato .HTML no GitLab

Topo da página