管道参数
提供了用于拉取请求,持续集成,持续部署,持续合规性和提升管道的参数。
您可以向管道 UI 上的管道添加参数,并从 定制脚本 访问这些参数。
表 1 到 5 列出并描述了管道的拉取请求,持续集成,持续部署,持续合规性和提升参数。
| 姓名 | 类型 | 描述 | 必需或可选 | 锁定或解锁 |
|---|---|---|---|---|
artifactory-dockerconfigjson |
Secret | base64-encoded Docker config.json 文件,用于存储 artifactory 的凭证信息。 |
可选 | 已解锁 |
base-branch |
文本 | 在其中合并 PR 的目标分支。 通常,master 是缺省基本分支。 如果配置了 PR Git 触发器 (通常如此),那么将从触发器填充此参数。 |
必需 | 已解锁 |
base-repo |
文本 | 合并 PR 的 repo 的 URL。 如果配置了 PR Git 触发器 (通常如此),那么将从 PR 触发器填充此参数。 | 必需 | 已解锁 |
base-repo-name |
文本 | 在其中合并 PR 的存储库的名称。 如果配置了 PR Git 触发器 (通常如此),那么将从 PR 触发器填充此参数。 | 必需 | 已解锁 |
base-repo-owner |
文本 | 在其中合并 PR 的存储库的所有者。 如果配置了 PR Git 触发器 (通常如此),那么将从 PR 触发器填充此参数。 | 必需 | 已解锁 |
baseimage-auth-email |
文本 | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的电子邮件凭证。 | 可选 | 已解锁 |
baseimage-auth-host |
文本 | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的主机凭证。 | 可选 | 已解锁 |
baseimage-auth-password |
Secret | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的密码凭证。 | 可选 | 已解锁 |
baseimage-auth-user |
文本 | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的用户凭证。 | 可选 | 已解锁 |
branch-protection-rules-path |
文本 | 设置 JSON 文件的路径,该文件包含所需合规性检查的定制列表 (相对于集成应用程序存储库)。 | 可选 | 已解锁 |
branch-protection-status-check-prefix |
文本 | 分支保护状态检查的前缀文本 (缺省为 tekton) |
可选 | 已解锁 |
cocoa-config-retry-status-code |
文本 | 需要在可可 CLI 中重试的 API 调用的响应状态码。 例如:500,404。 缺省值: 500 |
可选 | 已解锁 |
cocoa-config-max-retry-attempts |
文本 | 可可 CLI 可以重试 API 调用的次数。 例如:5。 缺省值: 3 |
可选 | 已解锁 |
cocoa-config-git-default-branch (supported in Q4, 2022) |
文本 | 可可 CLI 的缺省 Git 分支。 例如:main。 缺省值: master |
可选 | 已解锁 |
collect-evidence-in-pr |
文本 | 设置此标记可根据所选选项在 PR 管道中收集证据。 选项:none, all, success |
可选 | 已解锁 |
cos-api-key |
Secret | Cloud Object Storage API 密钥。 | 可选 | 已锁定 |
cos-access-key-id |
Secret | 来自 HMAC 凭证的 Cloud Object Storage 访问密钥标识。 (与 cos-secret-access-key 一起提供,而不是与 cos-api-key 一起提供) |
可选 | 已解锁 |
cos-secret-access-key |
Secret | 来自 HMAC 凭证的 Cloud Object Storage 私钥访问密钥。 (与 cos-access-key-id 一起提供,而不是与 cos-api-key 一起提供) |
可选 | 已解锁 |
cos-bucket-name |
文本 | Cloud Object Storage 实例中用作证据锁定程序的存储区的名称。 | 可选 | 已解锁 |
cos-endpoint |
文本 | 用于在用作证据锁定程序的 Cloud Object Storage 实例中存储证据的端点。 有关更多信息,请参阅 端点类型。 | 可选 | 已锁定 |
backup-cos-api-key |
Secret | 备份 Cloud Object Storage API密钥。 | 可选 | 已锁定 |
backup-cos-access-key-id |
Secret | 来自HMAC凭证的 BackupCloud Object Storage 访问密钥ID。 (与 backup-cos-secret-access-key 一起提供,而不是与 backup-cos-api-key 一起提供) |
可选 | 已解锁 |
backup--secret-access-key |
Secret | 来自HMAC凭证的 BackupCloud Object Storage 秘密访问密钥。 (与 backup-cos-access-key-id 一起提供,而不是与 backup-cos-api-key 一起提供) |
可选 | 已解锁 |
backup-cos-bucket-name |
文本 | Cloud Object Storage 实例中用作证据保管箱的备份存储桶的名称。 | 可选 | 已解锁 |
backup-cos-endpoint |
文本 | 从用作证据保管箱的备份 Cloud Object Storage 实例中读取证据的端点。 有关更多信息,请参阅 端点类型。 | 可选 | 已锁定 |
cra-custom-script-path |
文本 | 要在 CRA 扫描之前运行的定制脚本的路径。 此脚本的来源是提供用于在 CRA BOM 工具的上下文中设置 ENV 变量的选项。 | 可选 | 已解锁 |
cra-cveignore-path |
文本 | cveignore 的文件路径 (相对于应用程序存储库根目录)。 如果未提供值,那么缺省文件路径为 .cra/.cveignore。 |
可选 | 已解锁 |
cra-docker-build-context |
文本 | 如果指定了此标志,那么 Code Risk Analyzer 将路径参数中的目录用作 Docker 构建上下文。 缺省值为 false。 |
可选 | 已解锁 |
cra-docker-buildflags |
文本 | 定制用于构建阶段扫描的 Docker 构建命令。 该参数默认为空。 | 可选 | 已解锁 |
cra-dockerfile-pattern |
文本 | 能够添加具有不同命名约定的 Dockerfile,例如 enterprise-linux.Dockerfile |
可选 | 已解锁 |
cra-exclude-devdependencies |
文本 | 指定是否从扫描中排除开发依赖关系 (true 或 false)。 缺省值为 false。 |
可选 | 已解锁 |
cra-gradle-exclude-configs |
文本 | 指定要在扫描中排除依赖关系的 Gradle 配置。 示例: runtimeClasspath,testCompileClasspath。 该参数默认为空。 |
可选 | 已解锁 |
cra-maven-exclude-scopes |
文本 | 指定要在扫描中排除依赖关系的 Maven 作用域。 示例: test,compile。 该参数默认为空。 |
可选 | 已解锁 |
cra-nodejs-create-package-lock |
文本 | 启用 Code Risk Analyzer 发现以构建 node.js 存储库的 package-lock.json 文件。 缺省情况下,此参数设置为 false。 |
可选 | 已解锁 |
cra-python-create-requirements-txt |
文本 | 不推荐使用。 新的 CRA 工具不再使用此参数。 启用 Code Risk Analyzer 发现以构建 Python 存储库的 requirements.txt 文件。 缺省情况下,此参数设置为 false。 |
可选 | 已解锁 |
detect-secrets-baseline-filename |
文本 | 应用程序存储库中基线文件的名称。 | 可选 | 已解锁 |
detect-secrets-exclusion-list |
文本 | 要在 detect-secret 扫描中排除的文件的正则表达式列表。 | 可选 | 已解锁 |
detect-secrets-image |
文本 | 指定备用 detect-secret 图像,包括定制图像或特定版本的官方图像。 | 可选 | 已解锁 |
detect-secrets-verbose |
文本 | 输出当前正在扫描的文件的名称。 | 可选 | 已解锁 |
dind-image |
文本 | 用于运行侧柜的基本映像。 | 可选 | 已解锁 |
evidence-repo |
工具集成 | 证据库 URL。 | 可选 | 已锁定 |
evidence-reuse |
文本 | 将此标记设置为 1 以启用证据的重复使用。 |
可选 | 已解锁 |
evidence-reuse-for-failure |
文本 | 将此标志设置为 "1,可重复使用失败的证据。 |
可选 | 已解锁 |
evidence-validity-period |
文本 | 可重复使用证据的有效期(小时)。 默认值:24 小时。 最大值:720 小时(30 天) | 可选 | 已解锁 |
git-token |
Secret | Git 存储库访问令牌。 | 可选 | 已锁定 |
github-token |
Secret | GitHub 存储库访问令牌。 | 可选 | 已解锁 |
grit-token |
Secret | Git Repos and Issue Tracking 访问令牌。 | 可选 | 已解锁 |
head-branch |
文本 | 在其中引发 PR 的源分支。 如果配置了 PR Git 触发器 (通常如此),那么将从 PR 触发器填充此参数。 | 必需 | 已解锁 |
head-repo |
文本 | 引发 PR 的 repo 的 URL。 如果配置了 PR Git 触发器 (通常如此),那么将从 PR 触发器填充此参数。 | 必需 | 已解锁 |
head-sha |
文本 | head-branch 上的 HEAD 落实。 如果配置了 PR Git 触发器 (通常如此),那么将从 PR 触发器填充此参数。 |
必需 | 已解锁 |
iam_retry_count |
文本 | 等待访存 IAM 令牌的重试次数。 | 可选 | 已解锁 |
iam_retry_sleep |
文本 | 访存 IAM 令牌的等待时间量。 | 可选 | 已解锁 |
ibmcloud-api-key |
Secret | 与 ibmcloud CLI 工具交互的 IBM Cloud® API 密钥。 |
必需 | 已锁定 |
incident-repo |
工具集成 | 事件发布 repo URL。 | 可选 | 已锁定 |
one-pipeline-dockerconfigjson |
Secret | 用于从专用注册表拉取映像的 base64-encoded Docker config.json 文件。 |
可选 | 已解锁 |
opt-in-pr-updates |
文本 | 在 PR 中启用 cve 信息更新。 缺省 1 |
可选 | 已解锁 |
pipeline-config |
文本 | 定制管道行为的配置文件。 | 可选 | 已锁定 |
pipeline-config-branch |
文本 | 的分支DevSecOps管道配置。 | 可选 | 已锁定 |
pipeline-config-repo |
文本 | DevSecOps 管道配置位置的 repo URL。 | 可选 | 已锁定 |
pipeline-dockerconfigjson |
Secret | 用于从专用注册表拉取映像的 base64-encoded Docker config.json 文件。 |
可选 | 已解锁 |
pipeline-debug |
select | 管道调试方式开关。 | 可选 | 已解锁 |
slack-notifications |
文本 | 打开或关闭 Slack 集成的交换机。 | 可选 | 已锁定 |
[slack-notifications](#pipeline-parm-slack-notifications) |
文本 | 打开或关闭 Slack 集成的交换机 | 可选 | 已解锁 |
opt-in-sonar-pr-analysis |
文本 | 允许 Sonarqube 扫描进行拉取请求分析(该选项仅在 PR 不是来自分叉版本库时有效)。该参数仅对 App-preview PR pipeline 有效。 |
可选 | 已解锁 |
| 姓名 | 类型 | 描述 | 必需或可选 | 锁定或解锁 |
|---|---|---|---|---|
app-name |
文本 | 在工具链设置中指定的应用程序的名称。 | 必需 | 已解锁 |
artifactory-dockerconfigjson |
Secret | base64-encoded Docker config.json 文件,用于存储 artifactory 的凭证信息。 |
可选 | 已解锁 |
baseimage-auth-email |
文本 | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的凭证。 | 可选 | 已解锁 |
baseimage-auth-host |
文本 | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的凭证。 | 可选 | 已解锁 |
baseimage-auth-password |
Secret | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的凭证。 | 可选 | 已解锁 |
baseimage-auth-user |
文本 | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的用户凭证。 | 可选 | 已解锁 |
batched-evidence-collection |
文本 | 设置此标志以在批处理方式下启用证据收集,这将使网络调用最小化。 缺省 1 |
可选 | 已解锁 |
branch |
文本 | 包含应用程序源代码的存储库的 Git 存储库分支。 缺省值:master |
可选 | 已解锁 |
repository |
文本 | Git 代码库 URL 存放源代码的地方。 这必须是一个可克隆的 Git URL,通常以.git 结尾。 | 必需 | 已解锁 |
branch-protection-rules-path |
文本 | 设置 JSON 文件的路径,该文件包含所需合规性检查的定制列表 (相对于集成应用程序存储库)。 | 可选 | 已解锁 |
branch-protection-status-check-prefix |
文本 | 分支保护状态检查的前缀文本 (缺省为 tekton) |
可选 | 已解锁 |
ciso-ibmcloud-api-key |
Secret | 覆盖 ibmcloud-api-key 以进行映像签名和签名验证。 |
可选 | 已解锁 |
cocoa-config-retry-status-code |
文本 | 需要在可可 CLI 中重试的 API 调用的响应状态码。 例如:500,404。 缺省值: 500 |
可选 | 已解锁 |
cocoa-config-max-retry-attempts |
文本 | 可可 CLI 可以重试 API 调用的次数。 例如:5。 缺省值: 3 |
可选 | 已解锁 |
cocoa-config-git-default-branch (supported in Q4, 2022) |
文本 | 可可 CLI 的缺省 Git 分支。 例如:main。 缺省值: master |
可选 | 已解锁 |
cluster-name |
文本 | Docker 构建集群的名称。 | 必需 | 已锁定 |
compliance-baseimage |
文本 | 用于运行内置管道代码的基本映像。 | 可选解锁 | |
cos-api-key |
Secret | Cloud Object Storage API 密钥。 | 可选 | 已锁定 |
cos-access-key-id |
Secret | 来自 HMAC 凭证的 Cloud Object Storage 访问密钥标识。 (与 cos-secret-access-key 一起提供,而不是与 cos-api-key 一起提供) |
可选 | 已解锁 |
cos-secret-access-key |
Secret | 来自 HMAC 凭证的 Cloud Object Storage 私钥访问密钥。 (与 cos-access-key-id 一起提供,而不是与 cos-api-key 一起提供) |
可选 | 已解锁 |
cos-bucket-name |
文本 | Cloud Object Storage 实例中用作证据锁定程序的存储区的名称。 | 可选 | 已锁定 |
cos-endpoint |
文本 | 用于在用作证据锁定程序的 Cloud Object Storage 实例中存储证据的端点。 有关更多信息,请参阅 端点类型。 | 可选 | 已锁定 |
backup-cos-api-key |
Secret | 备份 Cloud Object Storage API密钥,具有读取权限。 | 可选 | 已锁定 |
backup-cos-access-key-id |
Secret | 来自HMAC凭证的 BackupCloud Object Storage 访问密钥ID。 (与 backup-cos-secret-access-key 一起提供,而不是与 backup-cos-api-key 一起提供) |
可选 | 已解锁 |
backup--secret-access-key |
Secret | 来自HMAC凭证的 BackupCloud Object Storage 秘密访问密钥。 (与 backup-cos-access-key-id 一起提供,而不是与 backup-cos-api-key 一起提供) |
可选 | 已解锁 |
backup-cos-bucket-name |
文本 | Cloud Object Storage 实例中用作证据保管箱的备份存储桶的名称。 | 可选 | 已解锁 |
backup-cos-endpoint |
文本 | 从用作证据保管箱的备份 Cloud Object Storage 实例中读取证据的端点。 有关更多信息,请参阅 端点类型。 | 可选 | 已锁定 |
cr-ibmcloud-api-key |
Secret | 覆盖 ibmcloud-api-key (如果提供),用于从 Container Registry 拉取映像以进行 Sysdig 扫描。 |
可选 | 已解锁 |
cr-resource-group |
文本 | 用于访问 Container Registry的资源组。 | 可选 | 已解锁 |
cra-custom-script-path |
文本 | 要在 CRA 扫描之前运行的定制脚本的路径。 此脚本的来源是提供用于在 CRA BOM 工具的上下文中设置 ENV 变量的选项。 | 可选 | 已解锁 |
cra-cveignore-path |
文本 | cveignore 的文件路径 (相对于应用程序存储库根目录)。 如果未提供值,那么缺省文件路径为 .cra/.cveignore。 |
可选 | 已解锁 |
cra-docker-build-context |
文本 | 如果指定了此标志,那么 Code Risk Analyzer 将路径参数中的目录用作 Docker 构建上下文。 缺省值为 false。 |
可选 | 已解锁 |
cra-docker-buildflags |
文本 | 定制用于构建阶段扫描的 Docker 构建命令。 该参数默认为空。 | 可选 | 已解锁 |
cra-dockerfile-pattern |
文本 | 能够添加具有不同命名约定的 Dockerfile,例如 enterprise-linux.Dockerfile |
可选 | 已解锁 |
cra-exclude-devdependencies |
文本 | 指定是否从扫描中排除开发依赖关系 (true 或 false)。 缺省值为 false。 |
可选 | 已解锁 |
cra-gradle-exclude-configs |
文本 | 指定要在扫描中排除依赖关系的 Gradle 配置。 示例: runtimeClasspath,testCompileClasspath。 该参数默认为空。 |
可选 | 已解锁 |
cra-ibmcloud-api-key |
Secret | 覆盖 CRA 任务所使用的 ibmcloud-api-key。 |
可选 | 已解锁 |
cra-maven-exclude-scopes |
文本 | 指定要在扫描中排除依赖关系的 Maven 作用域。 示例: test,compile。 该参数默认为空。 |
可选 | 已解锁 |
cra-nodejs-create-package-lock |
文本 | 启用 Code Risk Analyzer 发现以构建 node.js 存储库的 package-lock.json 文件。 缺省情况下,此参数设置为 false。 |
可选 | 已解锁 |
cra-python-create-requirements-txt |
文本 | 不推荐使用。 新的 CRA 工具不再使用此参数。 启用 Code Risk Analyzer 发现以构建 Python 存储库的 requirements.txt 文件。 缺省情况下,此参数设置为 false。 |
可选 | 已解锁 |
custom-exempt-label |
文本 | 定义将突发事件问题标记为“已免除”的定制标签。 | 可选 | 已解锁 |
custom-image-tag |
文本 | 以逗号分隔的列表中图像的定制标记。 | 可选 | 已锁定 |
detect-secrets-baseline-filename |
文本 | 应用程序存储库中基线文件的名称。 | 可选 | 已解锁 |
detect-secrets-exclusion-list |
文本 | 要在 detect-secret 扫描中排除的文件的正则表达式列表。 | 可选 | 已解锁 |
detect-secrets-image |
文本 | 指定备用 detect-secret 图像,包括定制图像或特定版本的官方图像。 | 可选 | 已解锁 |
detect-secrets-verbose |
文本 | 输出当前正在扫描的文件的名称。 | 可选 | 已解锁 |
dev-cluster-namespace |
文本 | 托管和部署 Docker 引擎的 Kubernetes 集群名称空间。 | 必需 | 已锁定 |
dev-region |
文本 | 托管集群的 IBM Cloud 区域。 | 必需 | 已锁定 |
dev-resource-group |
文本 | 集群资源组。 | 必需 | 已锁定 |
doi-buildnumber |
文本 | 要在 ibmcloud doi 命令中用作 --buildnumber 标志的构建号值。 |
可选 | 已解锁 |
doi-environment |
文本 | DevOps Insights 目标环境。 | 可选 | 已锁定 |
doi-ibmcloud-api-key |
Secret | IBM Cloud API 密钥,用于与上载 DOI 记录的 DevOps Insights 实例进行交互。 | 可选 | 已锁定 |
doi-logicalappname |
文本 | 要在 ibmcloud doi 命令中用作 --logicalappname 标志的应用程序名称 |
可选 | 已解锁 |
doi-tags |
文本 | 以逗号分隔的定制标记。 | 可选 | 已解锁 |
doi-toolchain-id |
文本 | DevOps Insights 实例工具链标识。 | 可选 | 已锁定 |
evidence-repo |
工具集成 | 证据库 URL。 | 可选 | 已锁定 |
evidence-reuse |
文本 | 将此标记设置为 1 以启用证据的重复使用。 |
可选 | 已解锁 |
evidence-reuse-for-failure |
文本 | 将此标志设置为 "1,可重复使用失败的证据。 |
可选 | 已解锁 |
evidence-validity-period |
文本 | 可重复使用证据的有效期(小时)。 默认值:24 小时。 最大值:720 小时(30 天) | 可选 | 已解锁 |
git-token |
Secret | Git 存储库访问令牌。 | 可选 | 已锁定 |
github-token |
Secret | GitHub 存储库访问令牌。 | 可选 | 已解锁 |
gosec-additional-flags |
文本 | 要附加到 gosec 命令开头的额外标志。 |
可选 | 已解锁 |
gosec-private-repository-url |
文本 | (已废弃)您的私有资源库基础 URL。 例如,https://github.ibm.com。 |
可选 | 已解锁 |
gosec-private-repository-host |
文本 | 您的专用存储库主机。 例如, github.ibm.com |
可选 | 已解锁 |
gosec-private-repository-ssh-key |
私钥 | 专用存储库的 SSH 密钥。 | 可选 | 已解锁 |
gosec-private-repository-user |
文本 | 具有 https 访问权的专用存储库的用户 (缺省为 x-oauth-basic) |
可选 | 已解锁 |
gosec-private-repository-token |
私钥 | 用于 https 访问私有版本库的令牌(默认为工具链中第一个 Git 集成配置的令牌,其版本库 URL 托管在 gosec-private-repository-host 's 值上) |
可选 | 已解锁 |
gosec-proxy-virtual-repository-token |
私钥 | gosec 代理的虚拟存储库令牌。 |
可选 | 已解锁 |
gosec-proxy-virtual-repository-user |
文本 | gosec 代理的虚拟存储库用户。 |
可选 | 已解锁 |
gosec-proxy-virtual-repository-url |
文本 | gosec 代理的虚拟存储库 URL。 |
可选 | 已解锁 |
gosec-scan-image |
文本 | 指定备用 gosec 映像,包括定制映像或特定版本的官方映像。 |
可选 | 已解锁 |
grit-token |
Secret | Git Repos and Issue Tracking 访问令牌。 | 可选 | 已解锁 |
iam_retry_count |
文本 | 等待访存 IAM 令牌的重试次数。 | 可选 | 已解锁 |
iam_retry_sleep |
文本 | 访存 IAM 令牌的等待时间量。 | 可选 | 已解锁 |
ibmcloud-api-key |
Secret | 与 ibmcloud CLI 工具交互的 IBM Cloud API 密钥。 |
必需 | 已锁定 |
ibmcloud-enable-session-keep-alive |
select | 如果此值设置为 1,那么对于 Code Risk Analyzer 扫描中长时间运行的作业,请使 IBM Cloud CLI 会话保持活动状态。 | 可选 | 已解锁 |
icr-dockerconfigjson |
Secret | base64-encoded Docker config.json 文件,用于存储 IBM Container Registry的凭证信息。 此参数由 SLSA 认证使用。 |
可选 | 已解锁 |
incident-assignee |
文本 | 事件问题的受让人 (GitHub 或 GitLab 用户名)。 | 可选 | 已解锁 |
incident-assignees |
文本 | 事件问题的受让人 (一个或多个以逗号分隔的用户名)。 此参数只能与 GitHub 和 GitLab Premium 帐户配合使用。 | 可选 | 已解锁 |
incident-label |
文本 | 新突发事件问题的标签。 | 可选 | 已解锁 |
incident-labels |
文本 | 新事件问题的标签。incident-labels 可以是一个或多个以逗号分隔的标签。 |
可选 | 已解锁 |
incident-repo |
工具集成 | 事件发布 repo URL。 | 可选 | 已锁定 |
inventory-repo |
工具集成 | 库存版本库 URL。 | 可选 | 已锁定 |
dind-image |
文本 | 用于运行侧柜的基本映像。 | 可选 | 已解锁 |
opt-in-gosec |
文本 | 启用 gosec 静态扫描。 |
可选 | 已锁定 |
one-pipeline-dockerconfigjson |
Secret | 用于从专用注册表拉取映像的 base64-encoded Docker config.json 文件。 |
可选 | 已解锁 |
opt-in-dynamic-api-scan |
文本 | 启用 OWASP Zap API 扫描。 | 可选 | 已锁定 |
opt-in-dynamic-scan |
文本 | 启用 OWASP Zap 扫描。 | 可选 | 已锁定 |
opt-in-dynamic-ui-scan |
文本 | 启用 OWASP Zap UI 扫描。 | 可选 | 已锁定 |
opt-in-pr-collection |
文本 | 添加任何值以启用 PR 收集。 | 可选 | 已解锁 |
opt-in-sonar |
文本 | Sonarqub 扫描集成。 | 可选 | 已锁定 |
opt-in-sonar-hotspots |
文本 | 允许在 Sonarqube 扫描中进行热点检测。 | 可选 | 已解锁 |
opt-in-sonar-quality-gates |
文本 | 允许 Sonarqube 扫描检测质量门故障。 | 可选 | 已解锁 |
opt-out-ci-set-commit-status |
文本 | 如果此参数具有任何值,那么 CI 管道不会根据 CI 管道执行的结果 (成功或失败) 来设置源代码存储库的落实状态值。 | 可选 | 已解锁 |
opt-out-nonvulnerability-issue-collection |
文本 | 添加任何值以选择退出与非漏洞相关的问题集合。 | 可选 | 已解锁 |
peer-review-compliance |
文本 | 在 CI 和 CD 管道中将 peer-review-compliance 环境变量设置为 1,以激活同行评审检查。 同样,在 CD 管道中,此配置将对链接到当前部署的所有拉取请求运行同级复审验证。 |
可选 | 已锁定 |
peer-review-collection |
文本 | 要检索正在进行的部署的拉取请求及其关联标题的列表,请将此值设置为 1 | 可选 | 已解锁 |
pipeline-config |
文本 | 定制管道行为的配置文件。 | 必需 | 已锁定 |
pipeline-config-branch |
文本 | 的分支DevSecOps管道配置。 | 可选 | 已锁定 |
pipeline-config-repo |
文本 | DevSecOps 管道配置位置的 repo URL。 | 可选 | 已解锁 |
publish-retry-duration |
文本 | 指定在启动下一次发布证据尝试之前要等待的持续时间 (以秒计)。 | 可选 | 已锁定 |
pipeline-debug |
select | 管道调试方式开关。 | 可选 | 已解锁 |
registry-namespace |
文本 | 映像的 Container Registry 名称空间。 | 必需 | 已锁定 |
registry-region |
文本 | 映像注册表的 IBM Cloud 区域。 | 必需 | 已锁定 |
repository |
文本 | 应用程序源代码库的 URL。 | 可选 | 已解锁 |
repository-integration |
文本 | 存储库的集成名称。 | 可选 | 已解锁 |
sbom-validation-collect-evidence |
文本 | 针对 cyclonedx sbom 启用 sbom 验证扫描的证据收集。 如果此值设置为 1,那么 sbom 验证将收集证据。 | 可选 | 已解锁 |
signing-key |
Secret | 用于使用 .pfx 文件数据对映像进行签名的 base64-encoded 专用密钥。 |
必需 | 已解锁 |
skip-inventory-update-on-failure |
文本 | 在发生故障的 CI 运行时停止库存更新的交换机。 | 可选 | 已解锁 |
slack-notifications |
文本 | 打开或关闭 Slack 集成的交换机 | 可选 | 已锁定 |
slsa-attestation |
select | 启用 SLSA 认证的交换机。 | 可选 | 已解锁 |
slsa-attestation-public-key |
Secret | 用于验证 SLSA 认证报告的 base64-encoded 公用密钥。 | 可选 | 已解锁 |
sonarqube |
工具集成 | Sonarqube 工具集成。 | 可选 | 已锁定 |
sonarqube_standby |
工具集成 | 可用作回退的备用 Sonarqube 工具集成。 | 可选 | 已解锁 |
sonarqube-config |
文本 | 在隔离的 Docker-Docker 容器 (缺省配置) 或现有开发 Kubernetes 集群 (集群配置) 中运行 SonarQube 扫描。 或者,您可以自带 SonarQube 实例并配置 SonarQube 工具集成 (定制配置)。 选项: default,cluster 或 custom。 默认为 default。 有关更多信息,请参阅 (将 SonarQube 添加到持续集成管道)。 |
必需 | 已锁定 |
sonarqube-user-token |
Secret | 如果 sonarqube-config 设置为 custom |
可选 | 已解锁 |
sonarqube-namespace |
文本 | 要与管道创建的 SonarQube 实例配合使用的已配置 Kubernetes 名称空间。 | 可选 | 已解锁 |
sonarqube-instance-image |
文本 | 用于作为隔离的 Docker-Docker 容器运行的 sonarqub 实例映像。 | 可选 | 已解锁 |
sonarqube-scanner-image |
文本 | 用于缺省 sonarqub 扫描命令的 sonarqub 扫描程序 CLI 图像。 | 可选 | 已解锁 |
sonarqube-scan-command |
文本 | 启动 sonarqub 扫描的 sonarqub 扫描命令。必须为 Maven Java 项目设置 sonarqube-scan-command。 有关更多信息,请参阅 sonarqube-scan-command |
可选 | 已解锁 |
| sonarqube-root-certificate | 文本或密码 | 如果 sonarqube-config 设置为 custom,则以 PEM 格式文本或 base64 编码密文的形式传递自签名证书 |
可选 | 已解锁 |
static-scan-retry-count |
文本 | 等待建立 Sonarqube 实例的重试次数。 | 可选 | 已解锁 |
static-scan-retry-sleep |
文本 | 每次重试迭代的等待时间量。 | 可选 | 已解锁 |
subpipeline-webhook-token |
Secret | Subpipeline Webhook Trigger for 触发异步管道 的 Webhook 私钥。 另请参阅 更新 async 阶段 Webhook。 |
可选 | 已解锁 |
sysdig-api-token |
文本 | Sysdig API 令牌值。 该令牌可从 Sysdig 实例的“用户概要文件”页面中查看。 运行 Sysdig 扫描需要此值。 | 必需 | 已解锁 |
sysdig-inline-scanner-image |
文本 | 要用于扫描的 sysdig 内联扫描程序图像。 缺省值为 quay.io/sysdig/secure-inline-scan:2 |
可选 | 已解锁 |
sysdig-scan |
select | 对图像启用 Sysdig 扫描。 如果此值设置为 1,那么将启用 Sysdig 扫描。 | 必需 | 已解锁 |
sysdig-policies |
文本 | 具有逗号分隔值的 sysdig 策略的标识。 您可以在 How to scan Images with this policy 部分下找到策略标识 (在 --policy 标记后查找名称) |
可选 | 已解锁 |
sysdig-url |
文本 | 用于扫描的 Sysdig 实例的 URL。 缺省值为 https://us-south.security-compliance-secure.cloud.ibm.com |
可选 | 已解锁 |
va-scan-retry-count |
文本 | 等待漏洞报告扫描的重试次数。 | 必需 | 已解锁 |
va-scan-retry-sleep |
文本 | 每次重试迭代的等待次数。 | 可选 | 已解锁 |
version |
文本 | 要部署的应用程序版本。 | 必需 | 已锁定 |
| 姓名 | 类型 | 描述 | 必需或可选 | 锁定或解锁 |
|---|---|---|---|---|
artifact-token |
Secret | 存储工件的令牌 | 如果工件存储库位于其他源提供程序中,那么此参数是必需的。 | 已解锁 |
artifactory-dockerconfigjson |
Secret | base64-encoded Docker config.json 文件,用于存储 artifactory 的凭证信息。 |
可选 | 已解锁 |
assignee |
文本 | 变更请求的受让人。 | 可选 | 已解锁 |
backout-plan |
文本 | 计划在发生故障时如何回滚更改。 | 可选 | 已解锁 |
batched-evidence-collection |
文本 | 设置此标志以在批处理方式下启用证据收集,这将使网络调用最小化。 缺省 1 |
可选 | 已解锁 |
ciso-ibmcloud-api-key |
Secret | 覆盖 ibmcloud-api-key 以进行映像签名和签名验证。 |
可选 | 已解锁 |
cocoa-config-retry-status-code |
文本 | 需要在可可 CLI 中重试的 API 调用的响应状态码。 例如:500,404。 缺省值: 500 |
可选 | 已解锁 |
cocoa-config-max-retry-attempts |
文本 | 可可 CLI 可以重试 API 调用的次数。 例如:5。 缺省值: 3 |
可选 | 已解锁 |
cocoa-config-git-automerge-threshold |
文本 | 用于排序和检索最新合并 PR 的自动合并阈值(以秒为单位)。 缺省值:10 |
可选 | 已解锁 |
cocoa-config-git-default-branch (supported in Q4, 2022) |
文本 | 可可 CLI 的缺省 Git 分支。 例如:main。 缺省值: master |
可选 | 已解锁 |
change-request-duration |
文本 | 为维护任务分配的时间(分钟),以确定修改的计划结束时间。 默认持续时间为 "30 min。 |
可选 | 已解锁 |
change-management-repo |
文本 | 变更管理存储库的 URL。 | 可选 | 已锁定 |
change-request-id |
文本 | 打开的变更请求的标识。 如果缺省情况下此参数设置为 notAvailable,那么连续部署管道将自动创建变更请求。 |
可选 | 已解锁 |
cluster |
文本 | Docker 构建集群的名称。 | 必需 | 已锁定 |
cluster-region |
文本 | 托管集群的 IBM Cloud 区域。 | 必需 | 已锁定 |
compliance-baseimage |
文本 | 用于运行内置管道代码的基本映像。 | 可选 | 已解锁 |
cos-api-key |
Secret | Cloud Object Storage API 密钥。 | 可选 | 已锁定 |
cos-access-key-id |
Secret | 来自 HMAC 凭证的 Cloud Object Storage 访问密钥标识。 (与 cos-secret-access-key 一起提供,而不是与 cos-api-key 一起提供) |
可选 | 已解锁 |
cos-secret-access-key |
Secret | 来自 HMAC 凭证的 Cloud Object Storage 私钥访问密钥。 (与 cos-access-key-id 一起提供,而不是与 cos-api-key 一起提供) |
可选 | 已解锁 |
cos-bucket-name |
文本 | Cloud Object Storage 实例中用作证据锁定程序的存储区的名称。 | 可选 | 已锁定 |
cos-endpoint |
文本 | 用于在用作证据锁定程序的 Cloud Object Storage 实例中存储证据的端点。 有关更多信息,请参阅 端点类型。 | 可选 | 已锁定 |
backup-cos-api-key |
Secret | 备份 Cloud Object Storage API密钥,具有读取权限。 | 可选 | 已锁定 |
backup-cos-access-key-id |
Secret | 来自HMAC凭证的 BackupCloud Object Storage 访问密钥ID。 (与 backup-cos-secret-access-key 一起提供,而不是与 backup-cos-api-key 一起提供) |
可选 | 已解锁 |
backup--secret-access-key |
Secret | 来自HMAC凭证的 BackupCloud Object Storage 秘密访问密钥。 (与 backup-cos-access-key-id 一起提供,而不是与 backup-cos-api-key 一起提供) |
可选 | 已解锁 |
backup-cos-bucket-name |
文本 | Cloud Object Storage 实例中用作证据保管箱的备份存储桶的名称。 | 可选 | 已解锁 |
backup-cos-endpoint |
文本 | 从用作证据保管箱的备份 Cloud Object Storage 实例中读取证据的端点。 有关更多信息,请参阅 端点类型。 | 可选 | 已锁定 |
cr-pipeline-name |
文本 | 正在创建变更请求的管道的名称。 | 可选 | 已解锁 |
cr-pipeline-version |
文本 | 正在创建变更请求的管道的版本。 | 可选 | 已解锁 |
cra-ibmcloud-api-key |
Secret | 覆盖 CRA 任务所使用的 ibmcloud-api-key。 |
可选 | 已解锁 |
customer-impact |
文本 | 变更对客户的影响。 | 可选 | 已解锁 |
deployment-impact |
文本 | 更改对部署的影响。 | 可选 | 已解锁 |
[deployment-traceability] |
文本 | 将值设为 1 以启用部署可追溯性 | 可选 | 已解锁 |
description |
文本 | 附加到“变更请求描述”的变更的描述。 | 可选 | 已解锁 |
dind-image |
文本 | 用于运行侧柜的基本映像。 | 可选 | 已解锁 |
doi-buildnumber |
文本 | 要在 ibmcloud doi 命令中用作 --buildnumber 标志的构建号值。 |
可选 | 已解锁 |
doi-environment |
文本 | DevOps Insights 目标环境。 | 可选 | 已锁定 |
doi-ibmcloud-api-key |
Secret | IBM Cloud API 密钥,用于与上载 DOI 记录的 DevOps Insights 实例进行交互。 | 可选 | 已锁定 |
doi-logicalappname |
文本 | 要在 ibmcloud doi 命令中用作 --logicalappname 标志的应用程序名称 |
可选 | 已解锁 |
doi-tags |
文本 | 以逗号分隔的定制标记。 | 可选 | 已解锁 |
doi-toolchain-id |
文本 | DevOps Insights 实例工具链标识。 | 可选 | 已锁定 |
emergency-label |
文本 | 将拉取请求标识为紧急情况。 | 可选 | 已锁定 |
evidence-repo |
工具集成 | 证据库 URL。 | 可选 | 已锁定 |
force-redeploy |
文本 | 强制部署或重新部署应用程序,即使上次部署未在库存中包含增量也是如此。 将此参数设置为 true 以强制部署应用程序,就好像它是指定目标环境上的第一个部署一样。 默认情况下,该参数设置为 false。 |
可选 | 已解锁 |
git-token |
Secret | Git 存储库访问令牌。 | 可选 | 已锁定 |
github-token |
Secret | GitHub 存储库访问令牌。 | 可选 | 已解锁 |
grit-token |
Secret | Git Repos and Issue Tracking 访问令牌。 | 可选 | 已解锁 |
iam_retry_count |
文本 | 等待访存 IAM 令牌的重试次数。 | 可选 | 已解锁 |
iam_retry_sleep |
文本 | 访存 IAM 令牌的等待时间量。 | 可选 | 已解锁 |
ibmcloud-api-key |
Secret | 与 ibmcloud CLI 工具交互的 IBM Cloud API 密钥。 |
必需 | 已锁定 |
impact |
文本 | 有关此变更实施影响的额外说明。 | 可选 | 已解锁 |
incident-repo |
工具集成 | 事件发布 repo URL。 | 可选 | 已锁定 |
inventory-repo |
工具集成 | 库存版本库 URL。 | 可选 | 已锁定 |
incident-assignee |
文本 | 事件问题的受让人 (GitHub 或 GitLab 用户名)。 | 可选 | 已解锁 |
incident-assignees |
文本 | 事件问题的一个或多个受托人 (一个或多个以逗号分隔的用户名)。 此参数只能与 GitHub 和 GitLab Premium 帐户配合使用。 | 可选 | 已解锁 |
incident-label |
文本 | 新突发事件问题的标签。 | 可选 | 已解锁 |
incident-labels |
文本 | 新事件问题的标签。incident-labels 可以是一个或多个以逗号分隔的标签。 |
可选 | 已解锁 |
opt-in-pr-collection |
文本 | 添加任何值以启用 PR 收集。 | 可选 | 已解锁 |
opt-out-nonvulnerability-issue-collection |
文本 | 添加任何值以选择退出与非漏洞相关的问题集合。 | 可选 | 已解锁 |
pipeline-config |
文本 | 定制管道行为的配置文件。 | 必需 | 已锁定 |
pipeline-config-branch |
文本 | 的分支DevSecOps管道配置。 | 可选 | 已锁定 |
pipeline-config-repo |
文本 | DevSecOps 管道配置位置的 repo URL。 | 可选 | 已锁定 |
pipeline-debug |
select | 管道调试方式开关。 | 可选 | 已解锁 |
pipeline-dockerconfigjson |
Secret | 用于从专用注册表拉取映像的 base64-encoded Docker config.json 文件。 |
可选 | 已锁定 |
pre-prod-evidence-collection |
文本 | 设置此标志以收集生产前证据和生产部署中的变更请求 (target-environment-purpose 设置为 production)。 默认值为 0。 |
可选 | 已锁定 |
priority |
文本 | 变更请求的优先级。 | 可选 | 已解锁 |
publish-retry-duration |
文本 | 指定在启动下一次发布证据尝试之前要等待的持续时间 (以秒计)。 | 可选 | 已解锁 |
purpose |
文本 | 需要更改的原因。 | 可选 | 已解锁 |
region |
文本 | 部署应用程序的目标区域。 | 可选 | 已解锁 |
regions |
文本 | 部署应用程序的目标区域,以逗号分隔。 适用于 cd-change-request-listener。 覆盖 region 参数。 |
可选 | 已解锁 |
rollback-change-request-id |
文本 | 要回滚的已结束部署的变更请求 ID | 光盘回滚管道所需 | 已解锁 |
rollback-enabled |
文本 | 用于设置是否启用内联回滚功能的标志。 缺省值 "0" | 可选 | 已解锁 |
rollback-limit |
文本 | 整数,表示可以向后执行多少次回滚。 默认为 "1" | 可选 | 已解锁 |
sbom-validation-collect-evidence |
文本 | 在 CI 管道中启用验证 sbom 验证扫描的状态。 如果此值设置为 1,那么将验证 sbom 验证 (成功或失败) 扫描的状态为 CI。 | 可选 | 已解锁 |
source-environment |
文本 | 从中提升应用程序的源环境。 | 必需 | 已锁定 |
summary-retry-attempts |
文本 | 设置证据摘要上载的最大重试次数。 默认值为 5。 |
可选 | 已解锁 |
summary-max-retry-time |
文本 | 设置证据摘要上载的最大回退时间。 每次重试都会成倍生成实际的回退时间,直到达到使用此参数设置的最大回退时间为止。 默认值为 32。 |
可选 | 已解锁 |
target-environment |
文本 | 部署应用程序的目标环境。 | 必需 | 已锁定 |
target-environment-purpose |
文本 | 部署应用程序的环境的上下文。 有效值: pre_prod 和 production |
必需 | 已锁定 |
target-environment-detail |
文本 | 部署应用程序的目标环境的描述。 | 必需 | 已锁定 |
version |
文本 | 要部署的应用程序版本。 | 必需 | 已锁定 |
| 姓名 | 类型 | 描述 | 必需或可选 |
|---|---|---|---|
app-url |
文本 | 在目标机上部署的应用程序的 URL。 建议用于使用登台应用程序 URL 的应用程序。 | 必需 |
artifactory-dockerconfigjson |
Secret | base64-encoded Docker config.json 文件,用于存储 artifactory 的凭证信息。 |
可选 |
baseimage-auth-email |
文本 | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的凭证。 | 可选 |
baseimage-auth-host |
文本 | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的凭证。 | 可选 |
baseimage-auth-password |
Secret | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的凭证。 | 可选 |
baseimage-auth-user |
文本 | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的用户凭证。 | 可选 |
batched-evidence-collection |
文本 | 设置此标志以在批处理方式下启用证据收集,这将使网络调用最小化。 缺省 1 |
可选 |
branch |
文本 | 包含应用程序源代码的存储库的 Git 存储库分支。 缺省值: master。 |
可选 |
cocoa-config-retry-status-code |
文本 | 需要在可可 CLI 中重试的 API 调用的响应状态码。 例如:500,404。 缺省值: 500 |
可选 |
cocoa-config-max-retry-attempts |
文本 | 可可 CLI 可以重试 API 调用的次数。 例如:5。 缺省值: 3 |
可选 |
cocoa-config-git-default-branch (supported in Q4, 2022) |
文本 | 可可 CLI 的缺省 Git 分支。 例如:main。 缺省值: master |
可选 |
cocoa-display-elapsed-time |
文本 | 将此参数设置为非空值以打印可可 CLI 命令执行的耗用时间 (以秒计)。 示例: Elapsed time: 5.32 seconds。 |
可选 |
compliance-baseimage |
文本 | 用于运行内置管道代码的基本映像。 | 可选 |
cos-api-key |
Secret | Cloud Object Storage API 密钥。 | 可选 |
cos-access-key-id |
Secret | 来自 HMAC 凭证的 Cloud Object Storage 访问密钥标识。 (与 cos-secret-access-key 一起提供,而不是与 cos-api-key 一起提供) |
可选 |
cos-secret-access-key |
Secret | 来自 HMAC 凭证的 Cloud Object Storage 私钥访问密钥。 (与 cos-access-key-id 一起提供,而不是与 cos-api-key 一起提供) |
可选 |
cos-bucket-name |
文本 | Cloud Object Storage 实例中用作证据锁定程序的存储区的名称。 | 可选 |
cos-endpoint |
文本 | 用于在用作证据锁定程序的 Cloud Object Storage 实例中存储证据的端点。 有关更多信息,请参阅 端点类型。 | 可选 |
backup-cos-api-key |
Secret | 备份 Cloud Object Storage API密钥,具有读取权限。 | 可选 |
backup-cos-access-key-id |
Secret | 来自HMAC凭证的 BackupCloud Object Storage 访问密钥ID。 (与 backup-cos-secret-access-key 一起提供,而不是与 backup-cos-api-key 一起提供) |
可选 |
backup--secret-access-key |
Secret | 来自HMAC凭证的 BackupCloud Object Storage 秘密访问密钥。 (与 backup-cos-access-key-id 一起提供,而不是与 backup-cos-api-key 一起提供) |
可选 |
backup-cos-bucket-name |
文本 | Cloud Object Storage 实例中用作证据保管箱的备份存储桶的名称。 | 可选 |
backup-cos-endpoint |
文本 | 从用作证据保管箱的备份 Cloud Object Storage 实例中读取证据的端点。 有关更多信息,请参阅 端点类型。 | 可选 |
cr-ibmcloud-api-key |
Secret | 覆盖 ibmcloud-api-key (如果提供),用于从 Container Registry 拉取映像以进行 Sysdig 扫描。 |
可选 |
cr-resource-group |
文本 | 用于访问 Container Registry的资源组。 | 可选 |
cra-custom-script-path |
文本 | 要在 CRA 扫描之前运行的定制脚本的路径。 此脚本的来源是提供用于在 CRA BOM 工具的上下文中设置 ENV 变量的选项。 | 可选 |
cra-cveignore-path |
文本 | cveignore 的文件路径 (相对于应用程序存储库根目录)。 如果未提供值,那么缺省文件路径为 .cra/.cveignore。 |
可选 |
cra-docker-build-context |
文本 | 如果指定了此标志,那么 Code Risk Analyzer 将路径参数中的目录用作 Docker 构建上下文。 缺省值为 false。 |
可选 |
cra-docker-buildflags |
文本 | 定制用于构建阶段扫描的 Docker 构建命令。 该参数默认为空。 | 可选 |
cra-dockerfile-pattern |
文本 | 能够添加具有不同命名约定的 Dockerfile,例如 enterprise-linux.Dockerfile |
可选 |
cra-exclude-devdependencies |
文本 | 指定是否从扫描中排除开发依赖关系 (true 或 false)。 缺省值为 false。 |
可选 |
cra-gradle-exclude-configs |
文本 | 指定要在扫描中排除依赖关系的 Gradle 配置。 示例: runtimeClasspath,testCompileClasspath。 该参数默认为空。 |
可选 |
cra-ibmcloud-api-key |
Secret | 覆盖 CRA 任务所使用的 ibmcloud-api-key。 |
可选 |
cra-maven-exclude-scopes |
文本 | 指定要在扫描中排除依赖关系的 Maven 作用域。 示例: test,compile。 该参数默认为空。 |
可选 |
cra-nodejs-create-package-lock |
文本 | 启用 Code Risk Analyzer 发现以构建 node.js 存储库的 package-lock.json 文件。 缺省情况下,此参数设置为 false。 |
可选 |
cra-python-create-requirements-txt |
文本 | 不推荐使用。 新的 CRA 工具不再使用此参数。 启用 Code Risk Analyzer 发现以构建 Python 存储库的 requirements.txt 文件。 缺省情况下,此参数设置为 false。 |
可选 |
custom-exempt-label |
文本 | 定义将突发事件问题标记为免除的定制标签。 | 可选 |
detect-secrets-baseline-filename |
文本 | 应用程序存储库中基线文件的名称。 | 可选 |
detect-secrets-exclusion-list |
文本 | 要在 detect-secret 扫描中排除的文件的正则表达式列表。 | 可选 |
detect-secrets-image |
文本 | 指定备用 detect-secret 图像,包括定制图像或特定版本的官方图像。 | 可选 |
detect-secrets-verbose |
文本 | 输出当前正在扫描的文件的名称。 | 可选 |
dev-region |
文本 | 托管集群的 IBM Cloud 区域。 对于缺省静态和动态扫描是必需的。 | 必需 |
dev-resource-group |
文本 | 集群资源组。 | 必需 |
dind-image |
文本 | 用于运行侧柜的基本映像。 | 可选 |
doi-environment |
文本 | DevOps Insights 目标环境。 | 可选 |
doi-ibmcloud-api-key |
Secret | IBM Cloud API 密钥,用于与上载 DOI 记录的 DevOps Insights 实例进行交互。 | 可选 |
doi-tags |
文本 | 以逗号分隔的定制标记。 | 可选 |
doi-toolchain-id |
文本 | DevOps Insights 实例工具链标识。 | 可选 |
environment-tag |
文本 | 表示库存中目标环境的标记名称。 示例: prod_latest |
必需 |
evidence-repo |
工具集成 | 证据库 URL。 | 可选 |
git-token |
Secret | Git 存储库访问令牌。 | 可选 |
github-token |
Secret | GitHub 存储库访问令牌。 | 可选 |
grit-token |
Secret | Git Repos and Issue Tracking 访问令牌。 | 可选 |
ibmcloud-api-key |
Secret | 与 ibmcloud CLI 工具交互的 IBM Cloud API 密钥。 |
必需 |
ibmcloud-enable-session-keep-alive |
select | 如果此值设置为 1,那么对于 Code Risk Analyzer 扫描中长时间运行的作业,请使 IBM Cloud CLI 会话保持活动状态。 | 可选 |
incident-assignee |
文本 | 事件问题的受让人 (GitHub 或 GitLab 用户名)。 | 可选 |
incident-assignees |
文本 | 事件问题的一个或多个受托人 (一个或多个以逗号分隔的用户名)。 此参数只能与 GitHub 和 GitLab Premium 帐户配合使用。 | 可选 |
incident-label |
文本 | 新突发事件问题的标签。 | 可选 |
incident-labels |
文本 | 新事件问题的标签。incident-labels 可以是一个或多个以逗号分隔的标签。 |
可选 |
incident-repo |
工具集成 | 事件发布 repo URL。 | 可选 |
inventory-exclude |
文本 | 要在 CC 管道中扫描和测试而排除的库存条目的逗号分隔列表。 还可以使用 glob 模式指定条目。 | 可选 |
inventory-include |
文本 | 在 CC 管道中包含的用于扫描和测试的库存条目的逗号分隔列表。 还可以使用 glob 模式指定条目。 如果未设置,那么将扫描并测试所有条目。 | 可选 |
inventory-repo |
工具集成 | 库存版本库 URL。 | 可选 |
opt-in-auto-close |
文本 | 当 CC 管道和 PR 管道通过证据收集不再检测到漏洞时,可自动关闭漏洞问题。 默认为 1。 |
可选 |
opt-in-cra-auto-remediation |
文本 | 指定是运行 IBM Cloud cra auto remediation (true 还是 false)。 |
可选 |
opt-in-cra-auto-remediation-enabled-repos |
文本 | 指定要为 IBM Cloud cra auto remediation 打开的以逗号分隔的存储库名称的列表。 仅当 opt-in-cra-auto-remediation 设置为 true 时,才会考虑此参数 |
可选 |
opt-in-cra-auto-remediation-force |
文本 | 强制 IBM Cloud cra auto remediation 更新软件包,即使主版本与当前易受攻击的软件包版本 (true 或 false) 不同也是如此。 仅当 opt-in-cra-auto-remediation 设置为 true 时,才会考虑此参数 |
可选 |
opt-in-dynamic-api-scan |
文本 | 启用 OWASP Zap API 扫描。 | 可选 |
opt-in-dynamic-scan |
文本 | 启用 OWASP Zap 扫描。 | 可选 |
opt-in-dynamic-ui-scan |
文本 | 启用 OWASP Zap UI 扫描。 | 可选 |
opt-in-sonar |
文本 | Sonarqube 扫描集成。 | 可选 |
opt-in-sonar-hotspots |
文本 | 允许在 sonarqub 扫描中进行热点检测。 | 可选 |
opt-out-nonvulnerability-issue-collection |
文本 | 添加任何值以选择退出与非漏洞相关的问题集合。 | 可选 |
pipeline-config |
文本 | 定制管道行为的配置文件。 | 必需 |
pipeline-config-branch |
文本 | 的分支DevSecOps管道配置。 | 可选 |
pipeline-config-repo |
文本 | DevSecOps 管道配置位置的 repo URL。 | 可选 |
pipeline-debug |
select | 管道调试方式开关。 | 可选 |
pipeline-dockerconfigjson |
Secret | 用于从专用注册表拉取映像的 base64-encoded Docker config.json 文件。 |
可选 |
publish-retry-duration |
文本 | 指定在启动下一次发布证据尝试之前要等待的持续时间 (以秒计)。 | 可选 |
region-prefix |
文本 | 区域名称作为目标环境的 latest 标记的前缀。 示例: us-south |
可选 |
repo-url |
文本 | 应用程序存储库的 URL。 | 必需 (如果使用同一库存来存储多个应用程序工件)。 |
repository-integration |
文本 | 存储库的集成名称。 | 可选 |
sbom-validation-collect-evidence |
文本 | 针对 cyclonedx sbom 启用 sbom 验证扫描的证据收集。 如果此值设置为 1,那么 sbom 验证将收集证据。 | 可选 |
slack-notifications |
文本 | 打开或关闭 Slack 集成的交换机 | 可选 |
sonarqube |
工具集成 | Sonarqube 工具集成。 | 可选 |
sonarqube-config |
文本 | 在隔离的 Docker-Docker 容器 (缺省配置) 或现有开发 Kubernetes 集群 (集群配置) 中运行 SonarQube 扫描。 或者,您可以自带 SonarQube 实例并配置 SonarQube 工具集成 (定制配置)。 选项: default,cluster 或 custom。 默认为 default。 有关更多信息,请参阅 (将 SonarQube 添加到持续集成管道)。 |
必需 |
sysdig-api-token |
文本 | Sysdig API 令牌值。 该令牌可从 Sysdig 实例的“用户概要文件”页面中查看。 运行 Sysdig 扫描需要此值。 | 必需 |
sysdig-inline-scanner-image |
文本 | 要用于扫描的 sysdig 内联扫描程序图像。 缺省值为 quay.io/sysdig/secure-inline-scan:2 |
可选 |
sysdig-scan |
select | 对图像启用 Sysdig 扫描。 如果此值设置为 1,那么将启用 Sysdig 扫描。 | 必需 |
|sysdig-url |text |用于扫描的 Sysdig 实例的 URL。 默认值为 https://secure.sysdig.com |可选项 |
sysdig-url |text |用于扫描的 Sysdig 实例的 URL。 默认值为 https://secure.sysdig.com |可选项
| 姓名 | 类型 | 描述 | 必需或可选 | 锁定或解锁 |
|---|---|---|---|---|
dind-image |
文本 | 用于运行侧柜的基本映像。 | 可选 | 已解锁 |
| 库存忽略文件 | 文本 | .inventoryignore 文件的自定义文件名,该文件包含每次部分促销运行时要忽略的文件/文件夹列表。 | 可选 | 已解锁 |
| 库存包括 | 文本 | 在部分促销中选择性促销的库存条目。 | 可选 | 已解锁 |
| 库存排除 | 文本 | 部分促销中要排除的库存条目。 | 可选 | 已解锁 |
规格
以下规范可帮助说明参数。
受托人
此参数用于提升拉取请求。 此值用于保存变更请求的受让人。 它必须是将分配给变更管理系统中的变更请求的功能标识或电子邮件。
回退计划
此参数用于提升拉取请求。 计划在发生故障时如何回滚更改。 默认为空。
分支
这是 CI 管道的可选参数。 它确定哪个分支从应用程序存储库中提取代码。 默认情况下,它是 master。
更改请求持续时间
这是 CD 管道的可选参数。 该值将更改维护持续时间。 缺省值为 30 min。
更改请求标识
这是 CD 管道的可选参数。 通过提供变更请求标识,管道将跳过创建新的变更请求并使用提供的变更请求。 如果此参数设置为 notAvailable 或留空,那么连续部署管道将自动创建变更请求。 默认值为 notAvailable。
集群
此参数用于保存 CD 管道中用于 Docker 部署的集群的名称。 示例应用程序需要此参数。
集群名称
此参数用于保存 CI 管道中用于 Docker 部署的集群的名称。 此参数是必需的。
集群区域
这是 CD 管道的参数。 托管集群的 IBM Cloud 区域。 这是示例应用程序的必需参数。
合规性-基本映像
此参数用于保存合规性基本映像的版本。 如果要使用除最新图像以外的其他内容,请使用此参数。
示例:
icr.io/continuous-delivery/toolchains/devsecops/baseimage:some-other-tag
定制免除标签
这是 CI 和 CC 管道的可选参数。 如果您标记了使用定制标签永久免除的突发事件问题,那么此参数必须保存定制标签的值。
客户影响
此参数用于提升拉取请求。 它记录变更请求对客户的影响。 缺省情况下,该参数是以管道分隔的字符串 'Critical | High | Moderate | Low | No_Impact'。 编辑缺省字符串以选择其中一个选项。
部署影响
此参数用于提升拉取请求。 它记录变更请求对部署的影响。 缺省情况下,该参数是以管道分隔的字符串 'Small | Large'。 编辑缺省字符串以选择其中一个选项。
描述
此参数用于提升拉取请求。 此参数包含随“变更请求描述”一起附加的变更描述。 默认为空。
detect-密钥-基线-文件名
此参数指定由 detect-secret 使用的基线文件的定制文件名。 缺省情况下,detect-secret 在存储库根目录中查找名为 .secrets.baseline 的文件。 但是,如果以不同方式命名基线文件,那么可以使用此参数来提供其文件名。
detect-secret-排除-list
此参数是在没有现有基线文件的情况下运行时覆盖缺省排除列表的环境属性。 此参数标识要忽略的文件,以便不会创建链接到这些文件的问题。
detect-secret-image
此参数可用于指定要使用的其他 detect-secret 映像,例如定制映像或官方 detect-secret 映像的特定版本。
detect-secret-verbose
此参数设置为 1 时,将记录正在扫描的当前文件的名称。
丁-映像
此参数用于设置定制 dind 映像。 设置此参数以使用定制 dind 图像标记
影响
此参数用于提升拉取请求。 有关此“变更实施”将影响的其他注释。 默认为空。
管道调试
如果此参数设置为 1,那么管道将以调试方式运行,并且日志将显示更多信息。 默认设置为 0。
优先级
此参数用于提升拉取请求。 变更请求的优先级。 缺省情况下为 'Critical | High | Moderate | Low | Plan'。 您可以将其更改为下列其中一个值。
用途
此参数用于提升拉取请求。 需要更改的原因。 默认为空。
签名密钥
此参数用于 CI 管道。 这是一个私钥类型参数,用于保存用于使用 .pfx 文件数据对映像进行签名的 base64-encoded 专用密钥。
Slack-通知
切换以打开或关闭 Slack 集成。 缺省情况下,此选项处于关闭状态,因此值为 0。 设置为 1 以将其打开,设置为 0 以将其关闭。
sonarqube
此参数适用于使用静态扫描阶段的所有管道。 这是集成类型参数。 如果您正在使用自己的 sonarque 集成,请选择该集成作为值。 默认情况下,该参数为空。
sonarqube 名称空间
此参数适用于使用静态扫描阶段的所有管道。 这是要与管道创建的 SonarQube 实例配合使用的已配置 Kubernetes 名称空间,您可以将其更改为要使用的任何名称空间。
sonarqu可能-scan-command
此参数适用于使用静态扫描阶段的管道。sonarqube-scan-command 指定用于启动 sonarqub 扫描的命令。 如果未设置此参数,那么缺省值为 docker run --platform="linux/amd64" --network host -v "$SONAR_DIR":/usr/sonar_scan -v "$WORKSPACE/$path":/usr/src "$sonarqube_scanner_image" sonar-scanner -Dsonar.working.directory=/usr/sonar_scan -Dsonar.projectKey="$SONAR_PROJECT_KEY" -Dsonar.token="$SONAR_TOKEN" -Dsonar.host.url="$SONAR_HOST_URL"。
缺省参数使用 Docker sonar-scanner 映像来执行扫描。
对于 Maven Java 项目,将此参数设置为 mvn -Dmaven.repo.local="${WORKSPACE}/.m2" -Dsonar.token="$SONAR_TOKEN" -Dsonar.host.url="$SONAR_HOST_URL" -Dsonar.projectKey="$SONAR_PROJECT_KEY" -Dsonar.projectName="$SONAR_PROJECT_KEY" -Dsonar.working.directory="$SONAR_DIR" sonar:sonar 以将 Maven 计算的类路径用于声纳扫描。
源环境
从中提升应用程序的源环境,这是提升的源库存分支。 缺省值为 master。 通过将 source-environment 属性添加到有效内容以覆盖此参数的值,使用 Webhook 触发器。
静态扫描重试次数
此参数适用于要在管道中运行的任何静态扫描。 这些扫描使用 API 调用,这可能需要很短的时间才能工作。 因此,如果需要,请重试这些调用。 可以使用此参数来更改重试次数。 默认情况下,该参数设置为 30。
静态扫描-重试-休眠
此参数适用于要在管道中运行的任何静态扫描。 这些扫描使用 API 调用,这可能需要很短的时间才能工作。 因此,如果需要,请重试这些调用。 您可以使用此参数更改要等待的秒数。 默认情况下,该参数设置为 10。
摘要重试次数
请使用重试方法来上载证据摘要,以确保其成功。 可以使用此参数来更改重试次数。 默认情况下,该参数设置为 5。
摘要-最大重试时间
请使用重试方法来上载证据摘要,以确保其成功。 您可以使用此参数更改要等待的秒数。 默认情况下,该参数设置为 32。
目标环境
应用程序要部署到的目标环境,这是促销的目标库存分支。 缺省值为 prod。 通过将 target-environment 属性添加到有效内容以覆盖此参数的值,使用 Webhook 触发器。
目标-环境-用途
此参数用于 CD 管道。target-environment-purpose 确定目标环境的上下文及其使用方式。 有效值为 pre_prod 和 production。 将任何与 production 无关的更改标记为 pre_prod。
目标环境详细信息
此参数用于 CD 管道。 它描述了目标环境。
sysdig-扫描
此参数适用于使用扫描工件阶段通过使用 sysdig inline scanner on icr.io 映像来运行 Sysdig 扫描的管道。
锁定环境属性
- 可锁定属性以防止它们被覆盖
- 试图在运行时覆盖锁定的属性将导致运行请求被拒绝。 锁定的属性默认不显示在运行侧面板中,但可以通过启用“显示所有属性”选项以只读方式显示。
如何锁定房产
要锁定环境属性,请单击环境属性的编辑属性,然后启用锁定的属性。
锁定的影响
锁定环境属性中的某个属性后,我们就无法更改触发级别。 因此,一旦属性被锁定,这些属性就无法在触发器层级中更新。
如果尝试在触发级别中加入任何锁定属性,都会导致错误。
如果要更改触发级别中的变量,我们可以禁用该变量的锁定。