代码风险分析器插件 IBM Cloud
代码风险分析器将于 2027 年 2 月 12 日在所有地区停止使用。 但是,如果某个地区没有使用代码风险分析仪,该地区的服务可能会提前终止。 了解更多
IBM Cloud® 命令行界面(CLI)提供了用于代码风险分析的命令。 您可以使用 IBM Cloud 命令行工具来分析代码中的漏洞以及是否符合特定规则。 代码风险分析器可在所有支持工具链的 IBM Cloud 区域中使用。
使用 CLI 完成以下任务:
- 生成物料清单(BOM),列出所有第三方操作系统软件包和应用程序软件包的依赖关系和可用许可信息。 您还可以以 CycloneDX-specific 格式生成该输出。
- 发现 BOM 中列出的软件包中的漏洞。 您还可以查看 CycloneDX-specific 格式的生成报告,或对 Node.js、Maven 或 Gradle (Groovy) 应用程序使用漏洞自动修复功能。
- 分析 Kubernetes 文件是否符合某些规则。
从 2024 年 1 月开始,代码风险分析器将使用 Clair 开源项目提供的漏洞数据,而不是商业公司 Snyk Limited 提供的数据。 您无需为此采取任何具体行动。 不过,您可能会发现 Code Risk Analyzer 报告的 CVE 在细节上存在一些差异。
支持的内容
代码风险分析器支持 Java™、Node.js、Python 和 Go 语言。 下表列出并描述了代码风险分析仪支持的内容。
| 满足 | 描述 |
|---|---|
| Java | 该 repo 需要使用 Maven 或 Gradle 进行自动化构建。 Maven 使用 pom.xml 文件计算依赖关系,而 Gradle 则使用 build.gradle(.kts) 文件。 代码风险分析器可以自动修复 Maven 和 Gradle (Groovy)。 |
| Node.js | package-lock.json 文件计算依赖关系。 对于 Node.js,代码风险分析器还可以自动进行修复。 确保安装的 npm 版本与项目的 npm 版本一致。 |
| Python | 依赖关系是通过 requirements.txt 和 pyproject.toml 文件计算出来的。 |
| Golang | 支持 go mod 和 go dep 依赖关系管理。 对于 go mod,go.sum 文件必须在 repo 中。 对于 go dep,Gopkg.lock 文件必须在 repo 中。 |
| Dockerfile | 版本库中具有 Dockerfile 模式的文件会被考虑在内。 对于容器镜像,支持 Debian, Red Hat Enterprise Linux®, Alpine 和 Ubuntu Linux 发行版。 |
| Kubernetes | 以 .yaml 和 .yml 为后缀的文件也在考虑之列。 kind 值必须设置为 Pod, ReplicaSet, ReplicationController, Deployment, Daemonset, Statefulset, Job,
CronJob, NetworkPolicy,或 Ingress。 |
| Calico | 以 .yaml 和 .yml 为后缀的文件也在考虑之列。 kind 值必须设置为 NetworkPolicy, GlobalNetworkPolicy, Profile, NetworkSet, GlobalNetworkSet 或 HostEndpoint。 |
| Terraform | Terraform 计划文件必须使用 IBM Cloud 作为 Terraform 提供程序生成。 |
代码风险分析器可检查源代码和软件仓库中的图像依赖关系,查找漏洞。 下表列出了 Code Risk Analyzer 针对不同类型的依赖关系所查询的漏洞信息来源。
| 依赖关系 | 受支持的版本 | 安全通知的源 |
|---|---|---|
| Alpine 图像 | 所有稳定版本都有供应商安全支持。 | Alpine SecDB 数据库 |
| Debian 图像 | 所有稳定版本都有供应商安全支持。
与 Debian 源软件包 |
Debian 安全漏洞跟踪。 |
| GoogleContainerTools 无散装图像 | 所有稳定版本都有供应商安全支持。 | GoogleContainerTools 无源 |
| Red Hat® Enterprise Linux® (RHEL) 图像 | RHEL 6、RHEL/UBI 7、RHEL/UBI 8 和 RHEL/UBI 9 | Red Hat 安全数据API。 |
| Ubuntu 图像 | 所有稳定版本都有供应商安全支持。 | Ubuntu CVE 跟踪器。 |
| Go、npm ( JavaScript )、Maven ( Java )、PyPI ( Python )、RubyGems ( Ruby ) 和 Packagist (PHP) | 所有稳定版本都有供应商安全支持。 | 开放源代码漏洞数据库。 |
代码风险分析器的已知问题
代码风险分析器无法发现不使用版本计划的应用程序软件包上的漏洞,如 major.minor.patch。 例如,不支持预发布版本或包含构建元数据的版本。
先决条件
-
安装 IBM Cloud CLI。 有关说明,请参阅 下载 IBM Cloud CLI。
-
运行以下命令安装代码风险分析 CLI 插件:
ibmcloud plugin install cra
-
确保可以访问受支持区域内的工具链。 工具链不需要任何工具。 有关工具链的更多信息,请参阅通过应用程序创建工具链。
-
通过设置
TOOLCHAIN_ID环境变量来指定工具链 ID:
export TOOLCHAIN_ID=e22195a5-11e3-44ba-9533-e7c18a3a61a7
- 运行以下命令登录 IBM Cloud 的特定区域,其中
[region]是创建工具链的区域。
ibmcloud login -r [region]
- 可选项:为了在使用 CLI 时加强对数据的控制和安全性,您可以选择使用专用路由到 IBM Cloud 端点。 您必须首先在账户中启用虚拟路由和转发,然后才能启用 IBM Cloud 专用服务端点的使用。 有关设置账户以支持专用连接选项的更多信息,请参阅 启用 VRF 和服务端点。
使用以下命令登录专用端点,其中 [region] 是创建工具链的区域。
ibmcloud login -a private.cloud.ibm.com -r [region]
CLI 用法命令
当 IBM Cloud 命令行界面和插件有更新可用时,您将在命令行上收到通知。 确保 CLI 保持最新,以便使用最新命令。 运行 ibmcloud plugin list 命令可查看所有已安装插件的当前版本。
代码风险分析器帮助
以下命令显示代码风险分析器命令列表:
ibmcloud cra --help
代码风险分析器命令帮助
以下命令显示命令中使用的标记的详细信息。 使用 ibmcloud cra --help 显示可用命令。
ibmcloud cra <command> --help
物料清单(BOM)
bom-generate 命令会访问指定目录路径下的工件,并执行深度发现以识别所有依赖关系,包括传递依赖关系。 该命令还能识别这些依赖项的发布许可。 创建一个 BOM,捕捉所有依赖关系的快照。 您可以按标准格式或 CycloneDX's SBOM 格式生成 BOM。
ibmcloud cra bom-generate
BOM 命令要求
bom-generate 命令依赖于某些外部命令:
- 如果路径中包含 Dockerfile,该命令会为每个 Dockerfile 中的每个构建阶段提取基础镜像和构建镜像。 在这种情况下,
bom-generate命令要求Docker cli和tar命令可用。 - 如果路径中包含 Maven 文件,该命令会使用
mvn生成依赖项列表。 在这种情况下,bom-generate命令要求mvn命令可用。 - 如果路径中包含 Gradle 文件,该命令将使用
gradle建立依赖关系列表。 在这种情况下,bom-generate命令要求gradle命令可用。 - 如果路径中包含 Node.js
package-json文件,且该命令用于生成相应的package-lock.json文件,则bom-generate命令会使用npm生成 package-lock.json 文件。 在这种情况下,该命令要求npm命令可用。 - 如果路径包含 Python
requirements.txt或pyproject.toml文件,命令会使用pip生成软件包依赖关系。 在这种情况下,bom-generate命令要求pip命令可用。 Python 版本 2 和 Python 版本 3 都支持。
如果您使用的是 Dockerfiles,请务必登录容器注册中心,从那里提取基础映像。
如果您的 Dockerfile 需要 ARGS,请在运行命令前将单个 ARG 设置为环境变量。 例如,如果 Dockerfile 使用 IAM_USER ARG,则导出一个名为 IAM_USER: export IAM_USER='value' 的环境变量。 CLI 会自动将这些环境变量传递给 docker build 命令。
您也可以明确指定 DOCKERBUILDFLAGS 标志。 要使用 ARGS Docker 标志导出 DOCKERBUILDFLAGS,请键入以下命令:
export DOCKERBUILDFLAGS="--build-arg IAM_USER --build-arg API_KEY"
BOM 命令选项
下表列出了使用 bom-generate 命令生成 BOM 时可以使用的命令选项。
| 命令选项 | 必需或可选 | 描述 |
|---|---|---|
--path |
必需 | 要扫描的项目目录路径。 |
-r, --report |
必需 | 存储 BOM 报告的文件名。 |
-a, --asset-type |
可选 | 要运行的安全检查(应用程序、图像、操作系统,全部)。 默认情况下,该选项设置为 all。 apps 选项用于限制对应用软件包的发现。 image 选项用于限制发现 Dockerfile 中使用的基本映像。 os 选项用于限制只发现 Dockerfile 中的构建阶段。 您可以使用逗号分隔多个值,如 -a os,image,apps。 |
-p, --prev-report |
可选 | 使用之前的 BOM 报告可加快命令执行速度。 例如,如果某个 Dockerfile 在上次报告生成后没有更新,该命令就会跳过从该 Dockerfile 中发现软件包的过程。 同样的情况也适用于其他清单文件,如 package-lock.json 文件。 |
-c, --dockerbuildcontext |
可选 | 如果指定,CRA 将在构建阶段扫描时使用路径参数中的目录作为 Docker 构建上下文。 |
-o, --output |
可选 | 选择 BOM 报告格式。 可以标准 BOM 格式 (standard) 或 CycloneDX's SBOM 格式 (cyclonedx) 生成格式输出。默认值为 standard。 您可以同时存储两种格式,方法是在输入每种格式时用逗号分隔,中间不留空格。 |
-f, --dockerbuildflags |
可选 | 定制用于构建阶段扫描的 Docker 构建命令。 您可以在名为 DOCKERBUILDFLAGS 的环境变量中指定该值,而不是使用该命令行标志。 默认情况下,该命令选项设置为 ''。 如果使用该选项,请确保它是为命令提供的最后一个标志。 |
-d, --dockerfilepattern |
可选 | 用于识别版本库中 Dockerfile 的模式。 |
-g, --gradle.excludeconfigurations |
可选 | 排除 Gradle 配置,例如:runtimeClasspath,testCompileClasspath。 默认情况下,该命令选项设置为 ''。 |
-l, --gradleprops |
可选 | 自定义 Gradle 命令,为 Gradle 依赖性扫描提供属性。 |
-m, --maven.excludescopes |
可选 | 排除 Maven 作用域,例如:test,compile. 例如:"test,compile"(测试、编译)。 默认情况下,该命令选项设置为 ''。 |
-n, --nodejs.createpackagelock |
可选 | 启用为 node.js 项目构建 package-lock.json 文件的任务。 |
--region |
可选 | 工具链所在的 ibmcloud 区域。 |
--toolchainid |
可选 | 要使用的目标工具链 ID。 |
-v, --verbose |
可选 | 启用详细日志信息。 |
忽略文件
如果路径包含 .cra/.fileignore 文件,则不会扫描 .fileignore 文件中指定的文件以查找依赖关系。 .fileignore 文件必须遵循 .gitignore 文件的规则。 与 .gitignore 文件类似,.fileignore 文件也可以包含注释、要忽略的目录、要忽略的文件和其他 模式。
下面的 .fileignore 文件示例展示了如何排除 bash 脚本、node_modules 和 Dockerfile。
# Ignore nested functional_tests directory
**/functional_tests
# Ignore bash scripts
**/*.sh
# This should allow this one file
!test/gatling_tests/loginTobx.sh
# Ignore node_modules
node_modules
# Exclude the dockerfile from scanning
Dockerfile
设置多个 Docker 构建上下文
在单个项目中使用多个 Dockerfile 时,可能需要为每个 Dockerfile 定义单独的构建上下文。 这可以通过使用 .cra/.dockerbuildcontext 文件来实现,该文件是一个 JSON 文件,用于将 Dockerfile 路径映射到相应的构建上下文。
如果项目目录中存在 .cra/.dockerbuildcontext 文件,CRA Docker 构建命令将使用该文件中的指定路径作为相关 Dockerfile 的构建上下文。 JSON 对象中的键代表 Dockerfile 的相对路径,而值则指定各自构建上下文的相对路径。
下面是 .dockerbuildcontext 文件的一个示例,它为多个 Dockerfile 定义了不同的构建上下文:
{
"Dockerfile": "./",
"path/to/different/Dockerfile": "./another/Path"
}
示例
以下代码片段展示了如何使用 bom-generate 命令:
ibmcloud cra bom-generate --path PATH --report REPORT [--asset-type ASSET-TYPE] [--dockerbuildcontext] [--dockerbuildflags DOCKERBUILDFLAGS] [--dockerfilepattern DOCKERFILEPATTERN] [--gradle.excludeconfigurations GRADLE.EXCLUDECONFIGURATIONS] [--maven.excludescopes MAVEN.EXCLUDESCOPES] [--nodejs.createpackagelock] [--prev-report PREV-REPORT] [--region REGION] [--toolchainid TOOLCHAINID] [--verbose]
ibmcloud cra bom --path . --report bomreport.json
漏洞扫描
vulnerability-scan 命令将 standard 格式的 BOM 作为输入,并检测 BOM 中列出的应用程序软件包和操作系统软件包中的漏洞。 根据从多种来源的常见漏洞和暴露(CVE)中获取的丰富威胁情报,提供有针对性的修复建议。 Code Risk Analyzer 还可以只对基于 Node.js 的应用程序的漏洞软件包执行自动修复。 您还可以以标准格式或 CycloneDX's Vulnerability Exploitability
Exchange (VEX) 格式生成此报告。
ibmcloud cra vulnerability-scan
漏洞扫描命令选项
下表列出了使用 vulnerability-scan 命令的选项。
| 命令选项 | 必需或可选 | 描述 |
|---|---|---|
-b, --bom |
必需 | 使用 bom-generate 命令生成的 BOM 的文件路径。 该 BOM 必须为 standard 格式。 |
-a, --autofix |
可选 | 修复特定类型的应用程序漏洞。 该选项仅适用于 Node.js、Maven 和 Gradle 应用程序。 |
-f, --commentfile |
可选 | 指定创建标记符报告的文件。 该命令仅适用于 autofix。 |
-c, --cveignore |
可选 | 忽略 CVE 文件的文件路径,该文件包含要忽略的 CVE 列表。 |
-e, --excludedev |
可选 | 指定不希望命令报告开发依赖项的 CVE。 |
--force |
可选 | 强制更新顶层节点软件包,即使主要版本不同。 该命令仅适用于 autofix。 |
--include-nofix |
可选 | 包括或不包括报告没有已知补救措施的 CVE。 默认情况下,该选项设置为 app。 app 选项用于只包含没有修复的应用程序软件包 CVE。 os 选项用于只包含没有修复的操作系统软件包 CVE。 all 选项用于包含未修复的应用程序和操作系统软件包 CVE。 none 选项用于排除未修复的应用程序和操作系统软件包 CVE。 |
--path |
如果启用 --autofix,则为必填项 |
要扫描的项目目录路径。 该命令仅适用于 autofix。 |
--region |
可选 | 工具链的 ibmcloud 区域。 |
-r, --report |
可选 | 生成报告的路径。 |
-o, --output |
可选 | 选择 CVE 报告格式。 您可以用标准 CVE 格式 (standard) 或 CycloneDX's VEX 格式 (cyclonedx) 生成格式输出。默认值为 standard。 |
-s, --strict |
可选 | 发现漏洞时会导致命令失败(退出状态 2)。 |
--toolchainid |
可选 | 目标工具链的 ID。 |
忽视漏洞
如果指定了 -c 或 --cveignore 参数,命令会查找该文件,但不会报告文件中指定的 CVE。 您可以对 CVE 进行配置,无限期地忽略它们,直到有补救措施为止,或直到指定的过期日期为止。
下面的示例显示了 .cveignore 文件的 JSON 模式:
[
{
"cve": "string",
"alwaysOmit": "bool",
"untilRemediationAvailable": "bool",
"expiration": "string"
}
]
.cveignore 文件中的每个条目都支持以下属性:
- cve- 要省略的漏洞。 此属性的值为 CVE ID。
- alwaysOmit- 如果该属性设置为
true,则漏洞会被省略,直到其被更改。 该属性优先于其他属性值。 - untilRemediationAvailable- 如果该属性设置为
true,则漏洞会被省略,直到有补救路径为止。 如果有补救措施,漏洞不会被省略,并会显示一条信息。 该属性优先于过期属性值。 - expiration- 如果该属性设置为
true,且未到失效日期,则省略该漏洞。 如果过期,则不会省略漏洞,并显示一条信息。 使用 RFC3339 时间格式 (yyyy-MM-ddTHH:mm:ss[+-]Z) 定义此属性。
代码风险分析器只使用这些已定义的属性。 您可以添加对函数没有影响的属性。 如果 .cveignore 中定义的漏洞未被省略,则会生成日志解释原因。 如果省略 .cveignore 文件中定义的漏洞,则不会显示单个日志。 报告完成后,会记录漏报的数量和带有软件包名称的漏洞 ID 列表。
下面的代码片段显示了一个 .cveignore 文件示例:
[
{
"cve": "CVE-2021-27290",
"alwaysOmit": true
},
{
"cve": "CVE-2020-8244",
"untilRemediationAvailable": true,
}
]
示例
以下代码片段展示了如何使用 vulnerability-scan 命令:
ibmcloud cra vulnerability-scan --bom BOM [--cveignore CVEIGNORE] [--report REPORT] [--excludedev] [--include-nofix app,os,all,none] [--region REGION] [--strict] [--toolchainid TOOLCHAINID] [--output OUTPUTFILE]
ibmcloud cra cve --bom ./bom-file.json --cveignore ./cveignore-example.json --report ./output-vulnerability-report.json --excludedev --include-nofix all --strict
部署
deployment-analyze 命令对 Kubernetes 部署清单进行配置检查。
ibmcloud cra deployment-analyze
该命令为 Docker 容器建立安全配置态势提供规范性指导。 代码风险分析器将这些安全配置作为参考点,并为 Kubernetes 应用程序确定安全控制,以便在部署工件(如 .yaml 文件)中进行检查。 该命令还为每个控制故障提供风险评估。
下表列出了您可以在 DevSecOps, 中执行的控件,这些控件来自 CIS Docker 1.13.0。 根据 Kubernetes Common Configuration Scoring System(KCCSS) 的开放源代码参考,增加了更多控制。
| 标识 | rule | 风险 |
|---|---|---|
| 5.3 | 确保集装箱不具备 CAP_SYS_ADMIN 功能。 |
高 |
| 5.3 | 确保集装箱不具备 CAP_NET_RAW 功能。 |
高 |
| 5.4 | 确保不使用特权容器。 | 高 |
| 5.5 | 确保敏感的主机系统目录未加载到容器上。 | 中 |
| 5.7 | 确保不在容器内映射特权端口。 | 低 |
| 5.9 | 确保主机的网络名称空间未被共享。 | 中 |
| 5.10 | 确保限制容器的内存使用量。 | 中 |
| 5.11 | 确保在容器上设置了适当的 CPU 优先级。 | 中 |
| 5.12 | 确保将容器的根文件系统加载为只读。 | 中 |
| 5.15 | 确保主机的进程名称空间未被共享。 | 中 |
| 5.16 | 确保主机的 IPC 命名空间未被共享。 | 中 |
| 5.31 | 确保 Docker 插座不安装在任何容器内。 | 高 |
|
|
确保容器不允许不安全地分配 CPU 资源。 | 中 |
|
|
确保容器不允许权限升级。 | 中 |
|
|
确保容器不会暴露 /proc 的不安全部位。 |
中 |
|
|
确保不通过共享主机端口暴露容器。 | 中 |
部署命令选项
下表列出了 deployment-analyze 命令的命令选项。
| 命令选项 | 必需或可选 | 描述 |
|---|---|---|
--path |
必需 | 要扫描的项目目录路径。 |
-r, --report |
必需 | 创建报告的文件名。 |
-f, --fileignore |
可选 | .fileignore 文件的文件路径。 |
-s, --strict |
可选 | 发现部署风险时,命令失败的结果(退出状态 2)。 |
示例
以下代码片段展示了如何使用 deployment-analyze 命令:
ibmcloud cra deployment-analyze --path PATH --report REPORT [--fileignore FILE_IGNORE] [--strict]
ibmcloud cra depl --path ./sampleDir --report deployment-report.json --strict
NetworkPolicy 分析
这是一个测试版功能,可用于评估和测试目的。
netpol-analyze 命令对 Kubernetes 和 Calico NetworkPolicy 清单进行配置检查。
ibmcloud cra netpol-analyze
该命令根据 NIST SP 800-53 SC-7(5)控制检查 Kubernetes 应用程序的连接配置状态。 它可验证每个工作负载的连通性都由至少一个 NetworkPolicy 资源控制,并且非安全端口的入口和出口都被阻止。
netpol-analyze 命令还可以提供扫描应用程序的连接性报告,显示应用程序工作负载之间所有允许的连接。 您可以使用此报告作为合规性证据,或帮助调试连接问题。 还可以使用此命令为扫描的网络策略提供 lint 结果,然后使用这些结果提高网络策略的效率和可读性。 在某些情况下,lint 结果还可能指向网络策略定义中的错误。
NetworkPolicy 分析命令选项
下表列出了 netpol-analyze 命令的命令选项。
| 命令选项 | 必需或可选 | 描述 |
|---|---|---|
--path |
必需 | 要扫描的项目目录路径。 |
-r, --report |
必需 | 创建合规报告的文件名。 |
-c, --connectivity |
可选 | 创建连接性报告的文件名。 |
-l, --lint |
可选 | 创建检查报告的文件名。 |
-s, --strict |
可选 | 当发现连接风险时,会导致命令失败(退出状态 2)。 |
示例
以下示例代码片段展示了如何使用 netpol-analyze 命令:
ibmcloud cra netpol-analyze --path PATH --report REPORT [--connectivity CONNFILE] [--lint LINTFILE] [--strict]
ibmcloud cra np --path ./sampleDir --report netpol-report.json --strict
网络配置分析仪图像
netpol-analyze 命令作为 IBM网络配置分析器(NCA) 的一部分运行。 由于该命令以 Docker 映像运行 NCA,因此必须在计算机上安装 Docker 在您的计算机上安装。
网络策略分析器的图像 URL 是 icr.io/continuous-delivery/cra/nca.
如果本地注册表中还没有分析器映像,netpol-analyze 命令会从全局 IBM Cloud® Container Registry 中提取最新的分析器映像(包括对任何漏洞的修复)。
在 Tekton 管道中使用代码风险分析器
您可以在 Tekton 管道中使用 task-cra 任务。 在创建拉取请求、手动触发或发布提交时,请使用 Tekton 管道定义。 您还可以创建自己的 Tekton 任务,并通过这些任务运行代码风险分析器。
使用代码风险分析器 DevSecOps
您可以在 DevSecOps. 下表列出并说明了 DevSecOps 支持的代码风险分析器参数。
有关管道映像运行 bom-generate 命令所需的从属实用程序命令的更多信息,请参阅 BOM 要求。 如果缺少命令,可以使用 cra-custom-script-path 参数引用脚本来安装这些命令。
| 名称 | 类型 | 描述 | 必需或可选 |
|---|---|---|---|
| artifactory-docker配置JSON文件 | Secret | base64-encoded Docker config.json 文件存储 Artifactory 的凭证信息。 |
可选 |
| 基础镜像-身份验证用户 | 文本 | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的凭证。 | 可选 |
| 基础镜像身份验证电子邮件 | 文本 | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的凭证。 | 可选 |
| 基础镜像身份验证主机 | 文本 | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的凭证。 | 可选 |
| 基础镜像身份验证密码 | Secret | 代码风险分析器扫描所需的应用程序 Dockerfile 基本映像的凭证。 | 可选 |
| cra-cveignore-路径 | 文本 | cveignore 文件的路径,该路径相对于应用程序 repo 的根目录。 默认文件路径为 .cra/.cveignore。 |
可选 |
| cra-自定义脚本路径 | 文本 | 代码风险分析器扫描前运行的自定义脚本的路径。 该脚本的来源是在 Code Risk Analyzer BOM 工具中提供设置 ENV 变量的选项。 |
可选 |
| cra-docker-构建标志 | 文本 | 用于构建阶段扫描的自定义 Docker 构建命令。 该参数默认为空。 | 可选 |
| cra-docker-构建上下文 | 文本 | 如果指定,Code Risk Analyzer 会使用路径参数中的目录作为 Docker 的构建上下文。 | 可选 |
| cra-exclude-devdependencies | 文本 | 指定是否从扫描中排除 dev 依赖项(true 或 false )。 缺省值为 false。 |
可选 |
| cra-gradle-排除配置 | 文本 | 指定在扫描时要排除依赖的 Gradle 配置。 例如,runtimeClasspath,testCompileClasspath。 该参数默认为空。 |
可选 |
| cra-maven-exclude-scopes | 文本 | 指定扫描时要排除依赖的 Maven 作用域。 例如,test,compile。 该参数默认为空。 |
可选 |
| cra-nodejs-创建-包锁定文件 | 文本 | 启用代码风险分析器发现功能,为 node.js repos 构建 package-lock.json 文件。 该参数默认设置为 false。 |
可选 |
| ibmcloud-api-密钥 | Secret | 与 ibmcloud CLI 工具交互的 IBM Cloud® API 密钥。 |
必需 |
| 管道-Docker配置JSON | Secret | base64-encoded Docker config.json 从私人注册表中提取图像的文件。 |
可选 |
| oneipeline-dockerconfigjson | Secret | 不推荐使用。 base64-encoded Docker config.json 从私人注册表中提取图像的文件。 |
可选 |
| 管道调试 | 选择 | 管道调试模式开关。 | 可选 |
| 选择自动修复 | 文本 | 启用代码风险分析器运行 cra auto remediation 命令 (true 或 false)。 缺省值为 false。 此命令仅在持续合规管道中支持。 |
可选 |
| 选择加入 CRA-auto-remediation-enabled-repos | 文本 | 指定要为 cra auto remediation 命令启用的以逗号分隔的版本库名称列表。 只有当 opt-in-cra-auto-remediation 设置为 true 时,才会考虑该参数,并且仅在持续合规管道中支持该参数。 |
可选 |
| 选择加入战争遗留爆炸物自动修复部队 | 文本 | 强制 cra auto remediation 命令更新软件包,即使主要版本与当前易受攻击的软件包版本(true 或 false )不同。 只有当 opt-in-cra-auto-remediation 设置为 true 时,才会考虑该参数,并且仅在持续合规管道中支持该参数。 |
可选 |
自定义脚本示例 DevSecOps
如果 Dockerfile 需要 ARGS,可以在运行命令前使用 cra-custom-script-path 参数将单个 ARG 设置为环境变量。 自定义脚本路径是用户项目中脚本的路径。 例如,如果 Dockerfile 使用 IAM_USER ARG,则在脚本中导出一个名为 IAM_USER: export IAM_USER='value' 的环境变量。 如果 Dockerfile 所需的 ARG
被设置为工具链中的环境属性,则可以使用 get_env 获取该值。 在这种情况下,您可以在 IAM_USER: export IAM_USER=$(get_env iam_user_environment_property_name) 脚本中导出一个环境变量。 run-cra 任务会自动获取这些环境变量,并将它们传递给 Docker 编译命令。
下面的示例显示了如何使用 cra-custom-script 导出 ENV 变量:
#!/usr/bin/env bash
if [[ "${PIPELINE_DEBUG:-0}" == 1 ]]; then
trap env EXIT
env | sort
set -x
fi
export IAM_USER=$(get_env iam_user_environment_property_name)
您还可以根据项目情况,在 DevSecOps 基本图像工具版本可能过时的情况下使用 cra-custom-script-path 参数。 例如,你可以更新 pip/pip3 等命令,以发现需要更高 pip 版本的 Python 软件包。
下面的示例展示了如何使用 cra-custom-script 更新 pip 版本:
#!/usr/bin/env bash
if [[ "${PIPELINE_DEBUG:-0}" == 1 ]]; then
trap env EXIT
env | sort
set -x
fi
python3 -m pip install --upgrade pip
如果您的 Dockerfile 使用来自私有 Docker 注册表的映像,您可以在运行 Code Risk Analyzer 之前使用 cra-custom-script-path 参数对私有 Docker 注册表进行身份验证,并允许 Code Risk Analyzer 提取该映像进行扫描。
下面的示例显示了如何使用 cra-custom-script 对 ibmcloud 容器注册表进行身份验证:
#!/usr/bin/env bash
if [[ "${PIPELINE_DEBUG:-0}" == 1 ]]; then
trap env EXIT
env | sort
set -x
fi
ibmcloud cr login
代码风险分析器的调试 DevSecOps
为帮助调试,您可以在本地计算机上以命令行界面 (CLI) 的方式运行代码风险分析器。 有关运行 ibmcloud cra bom-generate 命令生成BOM,请参阅 物料清单(BOM)。 生成 BOM 后,使用 ibmcloud cra cve 命令列出任何漏洞。 有关运行 ibmcloud cra cve 命令的更多信息,请参阅
漏洞扫描。
确保 run-cra 任务不包含任何错误。 如果任务包含错误,请检查您的管道是否使用当前版本的 DevSecOps。 如果检查 DevSecOps, 的版本仍不能解决问题,下面的示例提供了一些常见错误和建议的解决方案。
FAILED
Error executing docker pull cmd: [docker pull us.icr.io/opentoolchain/ibmnode:14ubisecure]
您可以验证自己是否有访问私人注册表的权限。 如果没有访问权限,可以使用 cra-custom-script-path 参数,并指定在 Code Risk Analyzer 验证专用注册表之前运行的自定义脚本的路径。
FAILED
Error executing docker build cmd for stage-0: exit status 1
如果您的 Dockerfile 需要 ARGS,那么用于构建阶段的 docker build 命令就会因为缺少 ARGS 而构建失败。 cra-custom-script-path 需要将 ARGS 设置为环境变量。 有关设置自定义脚本的更多信息,请参阅 DevSecOps 的自定义脚本示例。
FAILED
Error executing docker build cmd for stage-0: exit status 1
...
COPY file-to-copy.js file-to-copy.js:
------
failed to compute cache key: "/file-to-copy.js" not found: not found
默认情况下,Code Risk Analyzer bom-generate 命令从 Dockerfile 本身位置的上下文构建 Dockerfile。 如果要从项目根目录的上下文构建 Dockerfile,请使用 cra-docker-build-context 参数允许代码风险分析器从该上下文构建 Dockerfile。
删除已存储的代码风险分析器数据
代码风险分析器插件不会在其数据库中存储任何客户数据。 不过,早期版本的代码风险分析仪 Tekton 任务会将漏洞扫描结果安全地存储在数据库中。
如需删除代码风险分析器中可能存储的任何客户数据,请联系 IBM 支持部门。
常见问题
获取有关使用代码风险分析器 CLI 的常见问题答案。
如何确定 CLI 失败的原因?
在调用 Code Risk Analyzer CLI 之前,请将 IBMCLOUD_TRACE 环境变量设置为 true,以打开调试日志。
export IBMCLOUD_TRACE=true
观察 API 调用和日志中显示的响应,以确定失败的确切原因。
如何调试无法从专用注册表中提取基本映像的 BOM 命令?
使用 ibmcloud cr login 命令或 docker login 命令,确保已通过基本映像所在注册表的身份验证。
如何调试无法分析 Docker 文件的 BOM 命令?
- 运行
docker build命令并确保其通过,以验证 Dockerfile 没有任何问题。 - 如果 Dockerfile 要求传递 ARG,请确保将 ARG 设置为环境变量。 您也可以使用
DOCKERBUILDFLAG环境变量。 - 使用包含基础映像的注册表进行验证。
我看到了意想不到的假阳性结果。 我该怎么做?
运行 DevSecOps Continuous Deployment (CD) 管道,在证据柜中生成更新的 SBOM。 这可能会解决因 DevSecOps Continuous Compliance (CC) 管道生成的旧 SBOM 的存在而导致误报的潜在原因。
为什么报告或问题的严重性与相关漏洞链接的严重性不同?
由于我们的漏洞信息来源最近发生了变化,您可能会看到与特定漏洞相关的严重性发生了变化。 代码风险分析器将根据对所有漏洞来源的计算结果,确定最佳严重程度。