Configuração do modo SBOM lite para o verificador no Docker

Para inicializar o verificador em modo SBOM lite no Docker:

  1. Especifique os parâmetros obrigatórios para o Kaspersky Container Security:

    -e API_TOKEN=<valor do token de API>

    -e API_BASE_URL=https://company.com

    -e API_CA_CERT: <certificado no formato .PEM> ou -e SKIP_API_SERVER_VALIDATION=true

  2. Se necessário, especifique parâmetros adicionais para o Kaspersky Container Security.
  3. Especifique a imagem do verificador a ser executada:

    repo.kcs.company.com/images/scanner:v2.1.0-lite

  4. Caso precise gerar um artefato para download, especifique:

    --<formato do artefato --stdout > result.<formato do arquivo>

    Por exemplo:

    --html --stdout > result.html

  5. Certifique-se de que o arquivo de configuração .docker/config.json contenha dados para a conexão ao registro de imagem com a imagem do verificador. Se necessário, execute um dos seguintes comandos: docker login repo.company.com ou docker login repo.kcs.kaspersky.com.
  6. Inicie a verificação.

    Se um erro de resolução do nome do domínio (Não foi possível resolver o nome) aparecer ao acionar o verificador, especifique o endereço antes da variável API_BASE_URL antes do servidor DNS da organização. Por exemplo:

    --dns 10.0.xx.x

Se a imagem do verificador e a imagem a ser verificada estiverem armazenadas em seu registro e você precisar gerar um artefato com os resultados da operação do verificador no formato .JSON, as variáveis de inicialização do verificador serão especificadas da seguinte forma:

docker run --dns 10.0.10.10 \

-e "API_BASE_URL=https://kcs.company.com" \

-e "SKIP_API_SERVER_VALIDATION=true" \

-e "API_TOKEN=${api_token}" \

-e "COMPANY_EXT_REGISTRY_USERNAME=${user}" \

-e "COMPANY_EXT_REGISTRY_PASSWORD=${password}"

repo.company.com/images/scanner:v2.1.0-lite \

repo.company.com/images/alpine:latest --stdout > result.json

Se a imagem do verificador estiver armazenada em um registro público da Kaspersky (o nó extrai a imagem usando seu servidor proxy), a imagem verificada estiver armazenada localmente no nó como um arquivo comprimido e você precisar um artefato com os resultados da operação do verificador no .SPDX, as variáveis de inicialização do verificador serão especificadas da seguinte forma:

docker run --dns 10.0.10.10 \

-e "API_BASE_URL=https://kcs.company.com" \

-e "SKIP_API_SERVER_VALIDATION=true" \

-e "API_TOKEN=${api_token}" \

-e "HTTPS_PROXY=http://user:password@client.proxy.com:8080" \

-v ./image_to_scan.tar:/image.tar \

repo.kcs.kaspersky.com/images/scanner:v2.1.0-lite \

image.tar --file --spdx --stdout > result.spdx

Se a imagem do verificador estiver armazenada em um registro de imagem remoto, a imagem para análise estiver salva no host local no formato de artefato OCI e você precisar gerar um artefato com a saída do verificador no formato .SPDX, os dados para iniciar o verificador serão configurados da seguinte forma:

docker run --dns 10.0.10.10 \

-e "API_BASE_URL=https://kcs.company.com" \

-e "SKIP_API_SERVER_VALIDATION=true" \

-e "API_TOKEN=${api_token}" \

-e "COMPANY_EXT_REGISTRY_USERNAME=${user}" \

-e "COMPANY_EXT_REGISTRY_PASSWORD=${password}" \

-v ./image_oci_nginx:/image_oci_nginx \

repo.company.com/images/scanner:v2.0.0-lite \

./image_oci_nginx --oci --spdx --stdout > result.spdx

Antes de iniciar o verificador, assegure-se de que a imagem esteja disponível no nó no formato de artefato OCI. Por exemplo, você pode iniciar a ferramenta skopeo e executar o seguinte comando:
skopeo copy --override-arch amd64 --override-os linux -f oci docker://nginx:latest oci:image_oci_nginx:latest

Topo da página